Złośliwe oprogramowanie Whiffy Recon odkrywa lokalizację Wi-Fi komputerów z systemem Windows

Odkrycie złośliwego oprogramowania Whiffy Recon ujawniło niepokojący rozwój sytuacji w świecie cyberbezpieczeństwa. Szkodnik ten, dostarczany za pośrednictwem SmokeLoadera, szkodliwego programu ładującego, wykorzystywanego głównie do upuszczania dodatkowych ładunków na zainfekowane komputery z systemem Windows, stanowi poważne zagrożenie.

Sposób działania Whiffy Recon jest wyjątkowy. Działa poprzez skanowanie pobliskich punktów dostępu Wi-Fi co 60 sekund i wykorzystywanie zebranych danych jako punktu odniesienia dla API geolokalizacji Google. Informacje o lokalizacji pobrane z tego interfejsu API są następnie wysyłane z powrotem do złośliwych aktorów, umożliwiając im określenie lokalizacji zainfekowanego systemu.

SmokeLoader, jak sama nazwa wskazuje, jest przede wszystkim złośliwym oprogramowaniem ładującym. Jego podstawową funkcją jest ułatwianie dostarczania innego złośliwego oprogramowania na host. Od 2014 r. jest on dostępny w sprzedaży rosyjskim ugrupowaniom cyberprzestępczym i często jest dystrybuowany za pośrednictwem wiadomości e-mail phishingowych.

Skomplikowane operacje Whiffy Recon

Whiffy Recon jest zaprogramowany do wyszukiwania usługi WLAN AutoConfig (WLANSVC) w zainfekowanych systemach. Jeśli nie znajdzie tej usługi, sam się zakończy. Należy pamiętać, że skaner nie sprawdza, czy usługa działa, czy nie.

Aby zapewnić trwałość, Whiffy Recon dodaje skrót do folderu startowego systemu Windows. Dodatkowo rejestruje się na zdalnym serwerze dowodzenia i kontroli (C2), wysyłając losowo wygenerowany identyfikator „botID” w żądaniu HTTP POST. W odpowiedzi serwer wysyła wiadomość o powodzeniu i unikalny identyfikator, który jest następnie zapisywany w pliku o nazwie „%APPDATA%\Roaming\wlan\str-12.bin”.

Druga faza ataku polega na ciągłym skanowaniu punktów dostępu Wi-Fi przy użyciu interfejsu API WLAN systemu Windows. Wyniki skanowania są następnie przekazywane do interfejsu Google Geolocation API, umożliwiając triangulację lokalizacji zainfekowanego systemu. Informacje te są następnie przesyłane do serwera C2 w postaci ciągu JSON.

Zrozumienie sposobu działania Whiffy Recon ma kluczowe znaczenie w walce z zagrożeniem. W tej sekcji szczegółowo opisano funkcjonalność szkodliwego oprogramowania, od mechanizmów inicjowania i utrzymywania się po działania rozpoznawcze, oferując wgląd w techniki lokalizowania maszyn z systemem Windows za pośrednictwem pobliskich punktów dostępu Wi-Fi i przesyłania tych danych złośliwym podmiotom.