Novo Malware "Whiffy Recon" Triangula Localização de Dispositivos Infectados via Wi-Fi a Cada Minuto
24 de Agosto de 2023

O malware SmokeLoader está sendo usado para entregar uma nova cepa de malware de digitalização de Wi-Fi chamado Whiffy Recon em máquinas Windows comprometidas.

"A nova cepa de malware tem apenas uma operação.

A cada 60 segundos, ele triangula as posições dos sistemas infectados ao digitalizar pontos de acesso Wi-Fi próximos como um ponto de dados para a API de geolocalização do Google", disse a Unidade de Contra-Ameaças da Secureworks (CTU) em uma declaração compartilhada com The Hacker News.

"A localização retornada pela API de Geolocalização do Google é então enviada de volta ao adversário."

SmokeLoader, como o nome sugere, é um malware de carregamento cujo único propósito é soltar payloads adicionais em um hospedeiro.

Desde 2014, o malware tem sido oferecido à venda para atores de ameaças baseados na Rússia.

Tradicionalmente é distribuído por meio de e-mails de phishing.

O Whiffy Recon funciona verificando o serviço AutoConhecimento da WLAN (WLANSVC) no sistema infectado e se auto-termina se o nome do serviço não existe.

Vale ressaltar que o scanner não valida se está operacional.

A persistência é alcançada por meio de um atalho que é adicionado à pasta de inicialização do Windows.

"O que é preocupante sobre nossa descoberta do Whiffy Recon é que a motivação para sua operação é incerta", disse Don Smith, vice-presidente de Inteligência de Ameaças da Secureworks CTU.

"Quem, ou o que, está interessado na localização real de um dispositivo infectado? A regularidade da verificação a cada 60 segundos é incomum, por que atualizar a cada minuto? Com esse tipo de dados, um ator de ameaça poderia formar uma imagem da geolocalização de um dispositivo, mapeando o digital para o físico."

O malware também é configurado para se registrar com um servidor de comando e controle (C2) remoto, passando junto um "botID" gerado aleatoriamente em uma solicitação HTTP POST, após o que o servidor responde com uma mensagem de sucesso e um identificador único secreto que é posteriormente salvo em um arquivo chamado "%APPDATA%\Roaming\wlan\str-12.bin."

A segunda fase do ataque envolve a varredura de pontos de acesso Wi-Fi por meio da API WLAN do Windows a cada 60 segundos.

Os resultados da varredura são encaminhados para a API de Geolocalização do Google para triangulação do local do sistema e, finalmente, transmissão dessas informações para o servidor C2 na forma de uma string JSON.

"Esse tipo de atividade/capacidade é muito raramente usado por atores criminosos", acrescentou Smith.

"Como uma capacidade autônoma, falta a capacidade de monetizar rapidamente.

Os desconhecidos aqui são preocupantes e a realidade é que isso poderia ser usado para apoiar qualquer número de motivações nefastas."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...