Novo Malware "Whiffy Recon" Triangula Localização de Dispositivos Infectados via Wi-Fi a Cada Minuto
24 de Agosto de 2023

O malware SmokeLoader está sendo usado para entregar uma nova cepa de malware de digitalização de Wi-Fi chamado Whiffy Recon em máquinas Windows comprometidas.

"A nova cepa de malware tem apenas uma operação.

A cada 60 segundos, ele triangula as posições dos sistemas infectados ao digitalizar pontos de acesso Wi-Fi próximos como um ponto de dados para a API de geolocalização do Google", disse a Unidade de Contra-Ameaças da Secureworks (CTU) em uma declaração compartilhada com The Hacker News.

"A localização retornada pela API de Geolocalização do Google é então enviada de volta ao adversário."

SmokeLoader, como o nome sugere, é um malware de carregamento cujo único propósito é soltar payloads adicionais em um hospedeiro.

Desde 2014, o malware tem sido oferecido à venda para atores de ameaças baseados na Rússia.

Tradicionalmente é distribuído por meio de e-mails de phishing.

O Whiffy Recon funciona verificando o serviço AutoConhecimento da WLAN (WLANSVC) no sistema infectado e se auto-termina se o nome do serviço não existe.

Vale ressaltar que o scanner não valida se está operacional.

A persistência é alcançada por meio de um atalho que é adicionado à pasta de inicialização do Windows.

"O que é preocupante sobre nossa descoberta do Whiffy Recon é que a motivação para sua operação é incerta", disse Don Smith, vice-presidente de Inteligência de Ameaças da Secureworks CTU.

"Quem, ou o que, está interessado na localização real de um dispositivo infectado? A regularidade da verificação a cada 60 segundos é incomum, por que atualizar a cada minuto? Com esse tipo de dados, um ator de ameaça poderia formar uma imagem da geolocalização de um dispositivo, mapeando o digital para o físico."

O malware também é configurado para se registrar com um servidor de comando e controle (C2) remoto, passando junto um "botID" gerado aleatoriamente em uma solicitação HTTP POST, após o que o servidor responde com uma mensagem de sucesso e um identificador único secreto que é posteriormente salvo em um arquivo chamado "%APPDATA%\Roaming\wlan\str-12.bin."

A segunda fase do ataque envolve a varredura de pontos de acesso Wi-Fi por meio da API WLAN do Windows a cada 60 segundos.

Os resultados da varredura são encaminhados para a API de Geolocalização do Google para triangulação do local do sistema e, finalmente, transmissão dessas informações para o servidor C2 na forma de uma string JSON.

"Esse tipo de atividade/capacidade é muito raramente usado por atores criminosos", acrescentou Smith.

"Como uma capacidade autônoma, falta a capacidade de monetizar rapidamente.

Os desconhecidos aqui são preocupantes e a realidade é que isso poderia ser usado para apoiar qualquer número de motivações nefastas."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...