Noul malware „Whiffy Recon” triangulează în fiecare minut locația dispozitivului infectat prin Wi-Fi
Malware-ul SmokeLoader este utilizat pentru a livra o nouă tulpină malware de scanare Wi-Fi numită Whiffy Recon pe echipamentele cu Windows compromise.
„Noua tulpină malware are o singură operațiune. La fiecare 60 de secunde, acesta triangulează poziția sistemelor infectate prin scanarea punctelor de acces Wi-Fi din apropiere ca punct de date pentru API-ul de geolocalizare al Google„, a declarat Secureworks Counter Threat Unit (CTU) într-o declarație transmisă către The Hacker News. „Locația returnată de Google’s Geolocation API este apoi trimisă înapoi adversarului.„
SmokeLoader, după cum sugerează și numele, este un malware al cărui unic scop este de a lansa sarcini suplimentare pe o gazdă. Din 2014, malware-ul a fost oferit spre vânzare atacatorilor cu sediul în Rusia. În mod tradițional, este distribuit prin intermediul e-mailurilor de phishing.
Whiffy Recon funcționează prin verificarea serviciului WLAN AutoConfig (WLANSVC) pe sistemul infectat și se termină singur dacă numele serviciului nu există. Este demn de remarcat faptul că scanerul nu validează dacă acesta este operațional.
Persistența se realizează prin intermediul unei comenzi rapide care este adăugată în folderul de pornire al Windows Startup.
„Ceea ce este îngrijorător în legătură cu descoperirea noastră a Whiffy Recon este faptul că motivația pentru funcționarea sa este neclară„, a declarat Don Smith, vicepreședinte pentru informații despre amenințări la Secureworks CTU.
„Cine, sau ce, este interesat de locația reală a unui dispozitiv infectat? Regularitatea scanării la fiecare 60 de secunde este neobișnuită, de ce să se actualizeze la fiecare minut? Cu acest tip de date, un atacator ar putea să-și formeze o imagine a geolocalizării unui dispozitiv, cartografiind digitalul cu fizicul.„
De asemenea, malware-ul este configurat să se înregistreze pe un server de comandă și control (C2) de la distanță prin transmiterea unui „botID” generat aleatoriu într-o cerere HTTP POST, după care serverul răspunde cu un mesaj de succes și un identificator unic secret care este salvat ulterior într-un fișier numit „%APPDATA%\Roaming\wlan\str-12.bin.”
A doua fază a atacului implică scanarea punctelor de acces Wi-Fi prin intermediul Windows WLAN API la fiecare 60 de secunde. Rezultatele scanării sunt transmise către Google Geolocation API pentru a triangula locația sistemului și, în cele din urmă, pentru a transmite aceste informații către serverul C2 sub forma unui șir JSON.
„Acest tip de activitate/capacitate este foarte rar folosit de atacatori„, a adăugat Smith. „Ca și capacitate de sine stătătoare, îi lipsește capacitatea de a monetiza rapid. Necunoscutele în acest caz sunt îngrijorătoare, iar realitatea este că ar putea fi folosită pentru a sprijini orice număr de motivații nefaste.„
Sursa: TheHackerNews.com
Tradus și adaptat cu www.DeepL.com/Translator (free version)