Whiffy Recon Malware avslöjar Wi-Fi-platsen för Windows-maskiner
Upptäckten av Whiffy Recon malware har visat på en oroande utveckling inom cybersäkerhetsvärlden. Denna skadliga programvara, som levereras genom SmokeLoader, en skadlig programvara för loader som främst används för att släppa ytterligare nyttolaster på komprometterade Windows-maskiner, utgör ett betydande hot.
Whiffy Recons arbetssätt är unikt. Den fungerar genom att skanna närliggande Wi-Fi-åtkomstpunkter var 60:e sekund, med hjälp av data den samlar in som referenspunkt för Googles geolokaliserings-API. Platsinformationen som hämtas från detta API skickas sedan tillbaka till illvilliga aktörer, så att de kan lokalisera det infekterade systemet.
SmokeLoader är, som namnet antyder, i första hand en skadlig programvara för loader. Dess primära funktion är att underlätta leverans av annan skadlig programvara till en värd. Sedan 2014 har den varit tillgänglig för försäljning till ryskbaserade hotaktörer och distribueras ofta genom nätfiske-e-post.
Whiffy Recons intrikata operationer
Whiffy Recon är programmerad att söka efter WLAN AutoConfig-tjänsten (WLANSVC) på infekterade system. Om den inte hittar den här tjänsten avslutas den av sig själv. Det är viktigt att notera att skannern inte validerar om tjänsten är i drift eller inte.
För att säkerställa uthållighet lägger Whiffy Recon till en genväg till Windows Startup-mapp. Dessutom registreras den med en fjärrkommando-och-kontroll-server (C2) genom att skicka ett slumpmässigt genererat "botID" i en HTTP POST-förfrågan. Som svar skickar servern ett framgångsmeddelande och en unik identifierare, som sedan lagras i en fil med namnet "%APPDATA%\Roaming\wlan\str-12.bin."
Den andra fasen av attacken innebär kontinuerlig sökning efter Wi-Fi-åtkomstpunkter med hjälp av Windows WLAN API. Dessa skanningsresultat vidarebefordras sedan till Google Geolocation API, vilket möjliggör triangulering av det infekterade systemets plats. Denna information överförs sedan till C2-servern i form av en JSON-sträng.
Att förstå hur Whiffy Recon fungerar är avgörande för att bekämpa dess hot. Det här avsnittet dissekerar skadlig programvaras funktionalitet, från dess initierings- och beständighetsmekanismer till dess spaningsaktiviteter, och ger insikter i dess tekniker för att lokalisera Windows-maskiner via närliggande Wi-Fi-åtkomstpunkter och överföra denna data till illvilliga aktörer.