Вредоносная программа Whiffy Recon обнаруживает местоположение Wi-Fi на компьютерах с Windows

Обнаружение вредоносного ПО Whiffy Recon выявило тревожную тенденцию в мире кибербезопасности. Это вредоносное ПО, доставляемое через SmokeLoader, вредоносное ПО-загрузчик, которое в основном используется для загрузки дополнительных полезных данных на скомпрометированные компьютеры с Windows, представляет собой серьезную угрозу.

Методика работы Whiffy Recon уникальна. Он работает путем сканирования близлежащих точек доступа Wi-Fi каждые 60 секунд, используя собранные данные в качестве ориентира для API геолокации Google. Информация о местоположении, полученная от этого API, затем отправляется обратно злоумышленникам, что позволяет им точно определить местоположение зараженной системы.

SmokeLoader, как следует из названия, в первую очередь представляет собой вредоносное ПО-загрузчик. Его основная функция — облегчить доставку других вредоносных программ на хост. С 2014 года он доступен для продажи российским злоумышленникам и часто распространяется через фишинговые электронные письма.

Сложные операции Whiffy Recon

Whiffy Recon запрограммирован на поиск службы WLAN AutoConfig (WLANSVC) в зараженных системах. Если он не находит эту службу, он завершает работу. Важно отметить, что сканер не проверяет, работает ли служба или нет.

Чтобы обеспечить постоянство, Whiffy Recon добавляет ярлык в папку автозагрузки Windows. Кроме того, он регистрируется на удаленном сервере управления и контроля (C2), отправляя случайно сгенерированный «botID» в HTTP-запросе POST. В ответ сервер отправляет сообщение об успехе и уникальный идентификатор, который затем сохраняется в файле с именем «%APPDATA%\Roaming\wlan\str-12.bin».

Второй этап атаки включает в себя непрерывное сканирование точек доступа Wi-Fi с использованием Windows WLAN API. Эти результаты сканирования затем передаются в API геолокации Google, что позволяет определить триангуляцию местоположения зараженной системы. Эта информация впоследствии передается на сервер C2 в виде строки JSON.

Понимание того, как работает Whiffy Recon, имеет решающее значение для борьбы с этой угрозой. В этом разделе анализируются функциональные возможности вредоносного ПО, от механизмов его запуска и сохранения до разведывательных действий, а также представлены сведения о его методах обнаружения компьютеров Windows через близлежащие точки доступа Wi-Fi и передачи этих данных злоумышленникам.