Το κακόβουλο λογισμικό Whiffy Recon αποκαλύπτει τη θέση Wi-Fi των μηχανημάτων Windows
Η ανακάλυψη του κακόβουλου λογισμικού Whiffy Recon έφερε στο φως μια ανησυχητική εξέλιξη στον κόσμο της κυβερνοασφάλειας. Αυτό το κακόβουλο λογισμικό, που παρέχεται μέσω του SmokeLoader, ενός κακόβουλου λογισμικού φόρτωσης που χρησιμοποιείται κυρίως για την απόρριψη πρόσθετων ωφέλιμων φορτίων σε παραβιασμένα μηχανήματα Windows, αποτελεί σημαντική απειλή.
Ο τρόπος λειτουργίας της Whiffy Recon είναι μοναδικός. Λειτουργεί σαρώνοντας κοντινά σημεία πρόσβασης Wi-Fi κάθε 60 δευτερόλεπτα, χρησιμοποιώντας τα δεδομένα που συλλέγει ως σημείο αναφοράς για το API γεωγραφικής τοποθεσίας της Google. Οι πληροφορίες τοποθεσίας που ανακτώνται από αυτό το API αποστέλλονται στη συνέχεια σε κακόβουλους παράγοντες, επιτρέποντάς τους να εντοπίσουν την τοποθεσία του μολυσμένου συστήματος.
Το SmokeLoader, όπως υποδηλώνει το όνομά του, είναι κατά κύριο λόγο ένα κακόβουλο λογισμικό φορτωτή. Η κύρια λειτουργία του είναι να διευκολύνει την παράδοση άλλου κακόβουλου λογισμικού σε έναν κεντρικό υπολογιστή. Από το 2014, είναι διαθέσιμο προς πώληση σε φορείς απειλών με έδρα τη Ρωσία και συχνά διανέμεται μέσω ηλεκτρονικού "ψαρέματος" (phishing).
Οι περίπλοκες λειτουργίες του Whiffy Recon
Το Whiffy Recon έχει προγραμματιστεί να αναζητά την υπηρεσία WLAN AutoConfig (WLANSVC) σε μολυσμένα συστήματα. Εάν δεν βρει αυτήν την υπηρεσία, τερματίζεται μόνη της. Είναι σημαντικό να σημειωθεί ότι ο σαρωτής δεν επικυρώνει εάν η υπηρεσία είναι λειτουργική ή όχι.
Για να διασφαλίσει την επιμονή, το Whiffy Recon προσθέτει μια συντόμευση στο φάκελο εκκίνησης των Windows. Επιπλέον, εγγράφεται σε έναν απομακρυσμένο διακομιστή εντολών και ελέγχου (C2) στέλνοντας ένα τυχαία δημιουργημένο "botID" σε ένα αίτημα HTTP POST. Σε απόκριση, ο διακομιστής στέλνει ένα μήνυμα επιτυχίας και ένα μοναδικό αναγνωριστικό, το οποίο στη συνέχεια αποθηκεύεται σε ένα αρχείο με το όνομα "%APPDATA%\Roaming\wlan\str-12.bin."
Η δεύτερη φάση της επίθεσης περιλαμβάνει συνεχή σάρωση για σημεία πρόσβασης Wi-Fi χρησιμοποιώντας το Windows WLAN API. Αυτά τα αποτελέσματα σάρωσης προωθούνται στη συνέχεια στο Google Geolocation API, επιτρέποντας τον τριγωνισμό της θέσης του μολυσμένου συστήματος. Αυτές οι πληροφορίες μεταδίδονται στη συνέχεια στον διακομιστή C2 με τη μορφή συμβολοσειράς JSON.
Η κατανόηση του τρόπου λειτουργίας του Whiffy Recon είναι ζωτικής σημασίας για την καταπολέμηση της απειλής του. Αυτή η ενότητα αναλύει τη λειτουργικότητα του κακόβουλου λογισμικού, από τους μηχανισμούς έναρξης και εμμονής έως τις αναγνωριστικές δραστηριότητές του, προσφέροντας πληροφορίες για τις τεχνικές του για τον εντοπισμό μηχανημάτων Windows μέσω κοντινών σημείων πρόσβασης Wi-Fi και τη μετάδοση αυτών των δεδομένων σε κακόβουλους παράγοντες.