„Whiffy Recon“ kenkėjiška programa atskleidžia „Windows“ įrenginių „Wi-Fi“ vietą
„Whiffy Recon“ kenkėjiškos programos atradimas atskleidė nerimą keliančius pokyčius kibernetinio saugumo pasaulyje. Ši kenkėjiška programa, pristatyta per „SmokeLoader“, įkroviklio kenkėjišką programą, pirmiausia naudojamą norint numesti papildomus naudingus krovinius į pažeistus „Windows“ įrenginius, kelia didelę grėsmę.
„Whiffy Recon“ veikimo būdas yra unikalus. Jis veikia kas 60 sekundžių nuskaitydamas netoliese esančius „Wi-Fi“ prieigos taškus, naudodamas surinktus duomenis kaip „Google“ geografinės vietos API atskaitos tašką. Vietovės informacija, gauta iš šios API, siunčiama atgal kenkėjiškiems veikėjams, leidžiantiems tiksliai nustatyti užkrėstos sistemos vietą.
„SmokeLoader“, kaip rodo jo pavadinimas, pirmiausia yra kenkėjiška programa. Pagrindinė jo funkcija yra palengvinti kitų kenkėjiškų programų pristatymą į pagrindinį kompiuterį. Nuo 2014 m. jis buvo parduodamas Rusijoje gyvenantiems grėsmių subjektams ir dažnai platinamas sukčiavimo el. laiškais.
Sudėtingos „Whiffy Recon“ operacijos
„Whiffy Recon“ yra užprogramuota ieškoti WLAN automatinio konfigūravimo paslaugos (WLANSVC) užkrėstose sistemose. Jei šios paslaugos neranda, ji pati nutraukiama. Svarbu pažymėti, kad skaitytuvas nepatvirtina, ar paslauga veikia, ar ne.
Kad užtikrintų patvarumą, Whiffy Recon prideda nuorodą į Windows paleisties aplanką. Be to, jis registruojasi nuotoliniame komandų ir valdymo (C2) serveryje, siųsdamas atsitiktinai sugeneruotą „botID“ HTTP POST užklausoje. Atsakydamas į tai, serveris siunčia sėkmės pranešimą ir unikalų identifikatorių, kuris vėliau išsaugomas faile pavadinimu „%APPDATA%\Roaming\wlan\str-12.bin“.
Antrasis atakos etapas apima nuolatinį „Wi-Fi“ prieigos taškų nuskaitymą naudojant „Windows WLAN API“. Tada šie nuskaitymo rezultatai persiunčiami į Google Geolocation API, leidžiantį nustatyti užkrėstos sistemos vietos trianguliaciją. Vėliau ši informacija perduodama į C2 serverį JSON eilutės forma.
Norint kovoti su grėsme, labai svarbu suprasti, kaip veikia „Whiffy Recon“. Šiame skyriuje aprašomos kenkėjiškos programos funkcionalumas – nuo jos inicijavimo ir išlikimo mechanizmų iki žvalgybos veiklos, pateikiamos įžvalgos apie jos būdus, kaip rasti „Windows“ įrenginius per netoliese esančius „Wi-Fi“ prieigos taškus ir perduoti šiuos duomenis kenkėjiškiems veikėjams.