Whiffy Recon マルウェアが Windows マシンの Wi-Fi 位置を明らかにする
Whiffy Recon マルウェアの発見により、サイバーセキュリティの世界における懸念すべき動向が明らかになりました。このマルウェアは、主に侵害された Windows マシンに追加のペイロードをドロップするために使用されるローダー マルウェアである SmokeLoader を通じて配信され、重大な脅威をもたらします。
Whiffy Recon の手口は独特です。これは、収集したデータを Google の地理位置情報 API の参照ポイントとして使用し、近くの Wi-Fi アクセス ポイントを 60 秒ごとにスキャンすることで動作します。この API から取得した位置情報は悪意のある攻撃者に送り返され、感染したシステムの位置を正確に特定できるようになります。
SmokeLoader は、その名前が示すように、主にローダー マルウェアです。その主な機能は、ホストへの他のマルウェアの配信を容易にすることです。 2014 年以降、ロシアを拠点とする攻撃者に販売されており、フィッシングメールを通じて配布されることがよくあります。
Whiffy Recon の複雑な操作
Whiffy Recon は、感染したシステム上の WLAN AutoConfig サービス (WLANSVC) を探すようにプログラムされています。このサービスが見つからない場合、サービスは自動的に終了します。スキャナーはサービスが動作しているかどうかを検証しないことに注意することが重要です。
永続性を確保するために、Whiffy Recon は Windows スタートアップ フォルダーにショートカットを追加します。さらに、ランダムに生成された「botID」を HTTP POST リクエストで送信することで、リモート コマンド アンド コントロール (C2) サーバーに登録します。これに応じて、サーバーは成功メッセージと一意の識別子を送信し、それらは「%APPDATA%\Roaming\wlan\str-12.bin」という名前のファイルに保存されます。
攻撃の第 2 フェーズでは、Windows WLAN API を使用した Wi-Fi アクセス ポイントの継続的なスキャンが行われます。これらのスキャン結果は Google Geolocation API に転送され、感染したシステムの位置を三角測量することが可能になります。その後、この情報は JSON 文字列の形式で C2 サーバーに送信されます。
Whiffy Recon がどのように動作するかを理解することは、その脅威と戦うために重要です。このセクションでは、マルウェアの開始および持続メカニズムから偵察活動に至るまで、マルウェアの機能を詳しく分析し、近くの Wi-Fi アクセス ポイントを通じて Windows マシンの位置を特定し、このデータを悪意のある攻撃者に送信するテクニックについての洞察を提供します。