O malware SmokeLoader está sendo usado para entregar uma nova cepa de malware de digitalização de Wi-Fi chamado Whiffy Recon em máquinas Windows comprometidas.
"A nova cepa de malware tem apenas uma operação.
A cada 60 segundos, ele triangula as posições dos sistemas infectados ao digitalizar pontos de acesso Wi-Fi próximos como um ponto de dados para a API de geolocalização do Google", disse a Unidade de Contra-Ameaças da Secureworks (CTU) em uma declaração compartilhada com The Hacker News.
"A localização retornada pela API de Geolocalização do Google é então enviada de volta ao adversário."
SmokeLoader, como o nome sugere, é um malware de carregamento cujo único propósito é soltar payloads adicionais em um hospedeiro.
Desde 2014, o malware tem sido oferecido à venda para atores de ameaças baseados na Rússia.
Tradicionalmente é distribuído por meio de e-mails de phishing.
O Whiffy Recon funciona verificando o serviço AutoConhecimento da WLAN (WLANSVC) no sistema infectado e se auto-termina se o nome do serviço não existe.
Vale ressaltar que o scanner não valida se está operacional.
A persistência é alcançada por meio de um atalho que é adicionado à pasta de inicialização do Windows.
"O que é preocupante sobre nossa descoberta do Whiffy Recon é que a motivação para sua operação é incerta", disse Don Smith, vice-presidente de Inteligência de Ameaças da Secureworks CTU.
"Quem, ou o que, está interessado na localização real de um dispositivo infectado? A regularidade da verificação a cada 60 segundos é incomum, por que atualizar a cada minuto? Com esse tipo de dados, um ator de ameaça poderia formar uma imagem da geolocalização de um dispositivo, mapeando o digital para o físico."
O malware também é configurado para se registrar com um servidor de comando e controle (C2) remoto, passando junto um "botID" gerado aleatoriamente em uma solicitação HTTP POST, após o que o servidor responde com uma mensagem de sucesso e um identificador único secreto que é posteriormente salvo em um arquivo chamado "%APPDATA%\Roaming\wlan\str-12.bin."
A segunda fase do ataque envolve a varredura de pontos de acesso Wi-Fi por meio da API WLAN do Windows a cada 60 segundos.
Os resultados da varredura são encaminhados para a API de Geolocalização do Google para triangulação do local do sistema e, finalmente, transmissão dessas informações para o servidor C2 na forma de uma string JSON.
"Esse tipo de atividade/capacidade é muito raramente usado por atores criminosos", acrescentou Smith.
"Como uma capacidade autônoma, falta a capacidade de monetizar rapidamente.
Os desconhecidos aqui são preocupantes e a realidade é que isso poderia ser usado para apoiar qualquer número de motivações nefastas."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...