Il malware Whiffy Recon scopre la posizione Wi-Fi dei computer Windows

La scoperta del malware Whiffy Recon ha portato alla luce uno sviluppo preoccupante nel mondo della sicurezza informatica. Questo malware, distribuito tramite SmokeLoader, un malware caricatore utilizzato principalmente per rilasciare carichi utili aggiuntivi su macchine Windows compromesse, rappresenta una minaccia significativa.

Il modus operandi di Whiffy Recon è unico. Funziona scansionando i punti di accesso Wi-Fi nelle vicinanze ogni 60 secondi, utilizzando i dati raccolti come punto di riferimento per l'API di geolocalizzazione di Google. Le informazioni sulla posizione recuperate da questa API vengono quindi rimandate agli autori malintenzionati, consentendo loro di individuare la posizione del sistema infetto.

SmokeLoader, come suggerisce il nome, è principalmente un malware che carica. La sua funzione principale è facilitare la distribuzione di altro malware su un host. Dal 2014 è disponibile per la vendita agli autori di minacce con sede in Russia e viene spesso distribuito tramite e-mail di phishing.

Le complesse operazioni di Whiffy Recon

Whiffy Recon è programmato per cercare il servizio WLAN AutoConfig (WLANSVC) sui sistemi infetti. Se non trova questo servizio, si chiude da solo. È importante notare che lo scanner non convalida se il servizio è operativo o meno.

Per garantire la persistenza, Whiffy Recon aggiunge un collegamento alla cartella Esecuzione automatica di Windows. Inoltre, si registra con un server di comando e controllo remoto (C2) inviando un "botID" generato casualmente in una richiesta HTTP POST. In risposta, il server invia un messaggio di successo e un identificatore univoco, che viene quindi archiviato in un file denominato "%APPDATA%\Roaming\wlan\str-12.bin."

La seconda fase dell'attacco prevede la scansione continua dei punti di accesso Wi-Fi utilizzando l'API WLAN di Windows. Questi risultati della scansione vengono quindi inoltrati all'API di geolocalizzazione di Google, consentendo la triangolazione della posizione del sistema infetto. Queste informazioni vengono successivamente trasmesse al server C2 sotto forma di stringa JSON.

Comprendere come opera Whiffy Recon è fondamentale per combattere la sua minaccia. Questa sezione analizza la funzionalità del malware, dai suoi meccanismi di avvio e persistenza alle attività di ricognizione, offrendo approfondimenti sulle sue tecniche per localizzare le macchine Windows attraverso punti di accesso Wi-Fi vicini e trasmettere questi dati ad attori malintenzionati.

Entro il Zane
August 25, 2023
Malware
Italiano
August 25, 2023
Malware

Post popolari

Microsoft avverte che gli autori di minacce sostenute dallo...

5 days fa

Rilevamento malware Trojan Al11

11 months fa

Pop-up "Il tuo iCloud è stato violato" e "Il tuo iPhone è...

7 months fa

Pinaview è un'app adware completa

10 months fa

Cos'è Lucky Ransomware?

7 months fa

Truffa e-mail "American Express: aggiorna le informazioni del...

6 months fa
Italiano
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.