Whiffy Recon Malware avdekker Wi-Fi-plassering av Windows-maskiner
Oppdagelsen av Whiffy Recon malware har brakt frem en bekymringsfull utvikling i cybersikkerhetsverdenen. Denne skadelige programvaren, levert gjennom SmokeLoader, en loader-skadevare som primært brukes til å slippe ekstra nyttelast på kompromitterte Windows-maskiner, utgjør en betydelig trussel.
Whiffy Recons modus operandi er unik. Den fungerer ved å skanne nærliggende Wi-Fi-tilgangspunkter hvert 60. sekund, ved å bruke dataene den samler inn som et referansepunkt for Googles geolokaliserings-API. Plasseringsinformasjonen hentet fra denne API-en sendes deretter tilbake til ondsinnede aktører, slik at de kan finne det infiserte systemets plassering.
SmokeLoader, som navnet antyder, er først og fremst en loader-skadevare. Dens primære funksjon er å lette leveringen av annen skadelig programvare til en vert. Siden 2014 har den vært tilgjengelig for salg til russisk-baserte trusselaktører og distribueres ofte gjennom phishing-e-poster.
De intrikate operasjonene til Whiffy Recon
Whiffy Recon er programmert til å oppsøke WLAN AutoConfig-tjenesten (WLANSVC) på infiserte systemer. Hvis den ikke finner denne tjenesten, avslutter den seg selv. Det er viktig å merke seg at skanneren ikke validerer om tjenesten er operativ eller ikke.
For å sikre utholdenhet legger Whiffy Recon til en snarvei til Windows Startup-mappen. I tillegg registreres den med en ekstern kommando-og-kontroll-server (C2) ved å sende en tilfeldig generert "botID" i en HTTP POST-forespørsel. Som svar sender serveren en suksessmelding og en unik identifikator, som deretter lagres i en fil med navnet "%APPDATA%\Roaming\wlan\str-12.bin."
Den andre fasen av angrepet involverer kontinuerlig skanning etter Wi-Fi-tilgangspunkter ved hjelp av Windows WLAN API. Disse skanneresultatene videresendes deretter til Google Geolocation API, som muliggjør triangulering av det infiserte systemets plassering. Denne informasjonen blir deretter overført til C2-serveren i form av en JSON-streng.
Å forstå hvordan Whiffy Recon opererer er avgjørende for å bekjempe trusselen. Denne delen dissekerer skadevarens funksjonalitet, fra dens initierings- og utholdenhetsmekanismer til dens rekognoseringsaktiviteter, og gir innsikt i teknikkene for å lokalisere Windows-maskiner gjennom nærliggende Wi-Fi-tilgangspunkter og overføre disse dataene til ondsinnede aktører.