Whiffy Recon Malware afslører Wi-Fi-placering af Windows-maskiner

Opdagelsen af Whiffy Recon malware har afsløret en bekymrende udvikling i verden af cybersikkerhed. Denne malware, leveret gennem SmokeLoader, en loader-malware, der primært bruges til at slippe yderligere nyttelast på kompromitterede Windows-maskiner, udgør en betydelig trussel.

Whiffy Recons modus operandi er unik. Den fungerer ved at scanne nærliggende Wi-Fi-adgangspunkter hvert 60. sekund ved at bruge de data, den indsamler som referencepunkt for Googles geolocation API. Placeringsoplysningerne, der hentes fra denne API, sendes derefter tilbage til ondsindede aktører, så de kan lokalisere det inficerede systems placering.

SmokeLoader er, som navnet antyder, primært en loader-malware. Dens primære funktion er at lette leveringen af anden malware til en vært. Siden 2014 har det været tilgængeligt til salg til russisk-baserede trusselsaktører og distribueres ofte gennem phishing-e-mails.

Whiffy Recons indviklede operationer

Whiffy Recon er programmeret til at opsøge WLAN AutoConfig-tjenesten (WLANSVC) på inficerede systemer. Hvis den ikke finder denne tjeneste, afslutter den sig selv. Det er vigtigt at bemærke, at scanneren ikke validerer, om tjenesten er operationel eller ej.

For at sikre vedholdenhed tilføjer Whiffy Recon en genvej til Windows Startup-mappen. Derudover registreres den med en fjernkommando-og-kontrol-server (C2) ved at sende et tilfældigt genereret "botID" i en HTTP POST-anmodning. Som svar sender serveren en succesmeddelelse og en unik identifikator, som derefter gemmes i en fil med navnet "%APPDATA%\Roaming\wlan\str-12.bin."

Den anden fase af angrebet involverer kontinuerlig scanning efter Wi-Fi-adgangspunkter ved hjælp af Windows WLAN API. Disse scanningsresultater videresendes derefter til Google Geolocation API, hvilket muliggør triangulering af det inficerede systems placering. Denne information sendes efterfølgende til C2-serveren i form af en JSON-streng.

At forstå, hvordan Whiffy Recon fungerer, er afgørende for at bekæmpe dens trussel. Dette afsnit dissekerer malwarens funktionalitet, fra dets initierings- og persistensmekanismer til dets rekognosceringsaktiviteter, og giver indsigt i dets teknikker til at lokalisere Windows-maskiner gennem nærliggende Wi-Fi-adgangspunkter og overføre disse data til ondsindede aktører.