Le nouveau logiciel malveillant « Whiffy Recon » triangule l'emplacement des appareils infectés via Wi-Fi toutes les minutes

Le malware SmokeLoader est utilisé pour proposer une nouvelle souche de malware d’analyse Wi-Fi appelée Reconnaissance Whiffy sur les machines Windows compromises.

« La nouvelle souche de malware n’a qu’une seule opération. Toutes les 60 secondes, elle triangule les positions des systèmes infectés en analysant les points d’accès Wi-Fi à proximité comme point de données pour l’API de géolocalisation de Google », a déclaré la Counter Threat Unit (CTU) de Secureworks dans un communiqué partagé. avec The Hacker News. « La localisation renvoyée par l’API de géolocalisation de Google est ensuite renvoyée à l’adversaire. »

SmokeLoader, comme son nom l’indique, est un malware de chargement dont le seul objectif est de déposer des charges utiles supplémentaires sur un hôte. Depuis 2014, le malware est proposé à la vente aux acteurs malveillants basés en Russie. Il est traditionnellement distribué via des e-mails de phishing.

Whiffy Recon fonctionne en recherchant le service WLAN AutoConfig (WLANSVC) sur le système infecté et en s’arrêtant si le nom du service n’existe pas. Il est à noter que le scanner ne valide pas s’il est opérationnel.

La persistance est obtenue au moyen d’un raccourci ajouté au dossier de démarrage de Windows.

« Ce qui est préoccupant à propos de notre découverte de Whiffy Recon, c’est que la motivation de son opération n’est pas claire », a déclaré Don Smith, vice-président du renseignement sur les menaces chez Secureworks CTU.

« Qui, ou quoi, s’intéresse à la localisation réelle d’un appareil infecté ? La régularité de l’analyse toutes les 60 secondes est inhabituelle, pourquoi mettre à jour toutes les minutes ? Avec ce type de données, un acteur malveillant pourrait se faire une idée de la géolocalisation de un appareil, mappant le numérique au physique.

Le logiciel malveillant est également configuré pour s’enregistrer auprès d’un serveur de commande et de contrôle (C2) distant en transmettant un « botID » généré aléatoirement dans une requête HTTP POST, à la suite de quoi le serveur répond avec un message de réussite et un identifiant unique secret qui est ensuite enregistré dans un fichier nommé « %APPDATA%Roamingwlanstr-12.bin. »

La deuxième phase de l’attaque consiste à rechercher les points d’accès Wi-Fi via l’API Windows WLAN toutes les 60 secondes. Les résultats de l’analyse sont transmis à l’API de géolocalisation de Google pour trianguler la localisation du système et finalement transmettre ces informations au serveur C2 sous la forme d’une chaîne JSON.

« Ce type d’activité/capacité est très rarement utilisé par les acteurs criminels », a ajouté Smith. « En tant que capacité autonome, elle n’a pas la capacité de monétiser rapidement. Les inconnues ici sont inquiétantes et la réalité est qu’elle pourrait être utilisée pour soutenir un certain nombre de motivations néfastes. »

Le nouveau logiciel malveillant « Whiffy Recon » triangule l’emplacement des appareils infectés via Wi-Fi toutes les minutes

La porte dérobée HTTPSnoop de ShroudedSnooper cible les entreprises de télécommunications du Moyen-Orient

Les gouvernements locaux ciblés par les ransomwares – Comment éviter de tomber victime

Deux applications de logiciels espions sur Google Play avec 1,5 million d’utilisateurs envoyant des données en Chine

Infiltrez, chiffrez et extorquez en seulement 5 jours

Comment les tests d’intrusion peuvent atténuer le coup porté à la hausse des coûts de la cyberassurance

De nouvelles vulnérabilités Kubernetes permettent des attaques à distance sur les points de terminaison Windows

A lire également