Los investigadores han descubierto el malware "Whiffy Recon" implementado por Red zombi SmokeLoader, que es un ejecutable de escaneo de Wi-Fi personalizado para sistemas Windows que rastrea la ubicación física de las víctimas.
Whiffy Recon toma su nombre de la pronunciación de Wi-Fi utilizada en muchos países europeos y Rusia (“wiffy” en lugar del americano “why fie”). Busca tarjetas Wi-Fi o dongles en sistemas comprometidos y luego busca puntos de acceso Wi-Fi (AP) cercanos cada 60 segundos, según un informe de esta semana de la Unidad Contra Amenazas de Secureworks.
Luego triangula la posición del sistema infectado ingresando los datos AP en la API de geolocalización de Google y luego envía los datos de ubicación a un adversario desconocido.
Datos de geolocalización para ataques de seguimiento
Rafe Pilling, director de investigación de amenazas de Secureworks Counter Threat Unit, dice que si bien hay un intervalo de escaneo de 60 segundos para los AP, no está claro si cada ubicación se está almacenando o si es solo la posición más reciente transmitida.
“Es posible que un trabajador que lleve una computadora portátil con Whiffy Recon se puede mapear viajar entre el hogar y el negocio”, dice.
Drew Schmitt, analista principal del Equipo de Inteligencia e Investigación de Seguridad de GuidePoint (GRIT), dice que los conocimientos sobre los movimientos de las personas pueden establecer patrones de comportamiento o ubicaciones que pueden permitir que se produzcan ataques más específicos.
"Podría usarse para rastrear individuos que pertenecen a una organización, gobierno u otra entidad específica", dice. "Los atacantes podrían implementar malware de forma selectiva cuando el sistema infectado esté ubicado físicamente en una ubicación sensible o en momentos específicos que les darían una alta probabilidad de éxito operativo y un alto impacto".
Shawn Surber, director senior de gestión técnica de cuentas de Tanium, señala que el informe no especifica una industria o sector en particular como objetivo principal, pero añade que "tales datos podrían ser valiosos para el espionaje, la vigilancia o el ataque físico".
Agrega que esto podría indicar que entidades patrocinadas o afiliadas al estado que participan en campañas prolongadas de ciberespionaje están detrás de la campaña. Por ejemplo, El APT35 de Irán en una campaña reciente llevó a cabo un reconocimiento de ubicación de objetivos de los medios israelíes, posiblemente al servicio de posibles ataques físicos, según investigadores de la época.
"Varios grupos de la APT son conocidos por sus intereses de espionaje, vigilancia y ataques físicos, a menudo impulsados por los objetivos políticos, económicos o militares de las naciones que representan", explica.
SmokeLoader: una cortina de humo de atribución
La rutina de infección comienza con correos electrónicos de ingeniería social que contienen un archivo zip malicioso. Resulta ser un archivo políglota que contiene tanto un documento señuelo como un archivo JavaScript.
Luego, el código JavaScript se utiliza para ejecutar el malware SmokeLoader, que, además de colocar malware en una máquina infectada, registra el punto final con un comando y control (C2). servidor y lo agrega como un nodo dentro de la botnet SmokeLoader.
Como resultado, las infecciones de SmokeLoader son persistentes y pueden acechar sin ser utilizadas en endpoints involuntarios hasta que un grupo tiene malware que desea implementar. Varios actores de amenazas compran acceso a la botnet, por lo que la misma infección SmokeLoader puede usarse en una amplia gama de campañas.
"Es común que observemos que se envían múltiples cepas de malware a una sola infección de SmokeLoader", explica Pilling. "SmokeLoader es indiscriminado y tradicionalmente utilizado y operado por ciberdelincuentes con motivaciones financieras".
Schmitt señala que, dada su naturaleza como servicio, es difícil saber quién está en última instancia detrás de un determinado campaña cibernética que utiliza SmokeLoader como herramienta de acceso inicial.
"Dependiendo del cargador, podría haber hasta 10 o 20 cargas útiles diferentes que podrían entregarse selectivamente a sistemas infectados, algunas de las cuales están relacionadas con ransomware y ataques de delitos electrónicos, mientras que otras tienen diferentes motivaciones", afirma.
Dado que las infecciones por SmokeLoader son indiscriminadas, el uso de Whiffy Recon para recopilar datos de geolocalización puede ser un esfuerzo para limitar y definir objetivos para una mayor actividad de seguimiento quirúrgico.
"A medida que esta secuencia de ataque continúe desarrollándose", dice Schmitt, "será interesante ver cómo se utiliza Whiffy Recon como parte de una cadena posterior a la explotación más amplia".
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- ChartPrime. Eleve su juego comercial con ChartPrime. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- :posee
- :es
- :no
- $ UP
- 10
- 20
- 60
- a
- de la máquina
- Conforme
- Mi Cuenta
- administración de cuentas
- actividad
- los actores
- adición
- Añade
- permitir
- American
- an
- analista
- y
- cualquier
- abejas
- APT
- Archive
- somos
- Formación
- AS
- At
- atacar
- ataques
- Atrás
- BE
- detrás de
- "Ser"
- entre
- ambas
- Botnet
- pero
- comprar
- by
- Campaña
- Campañas
- PUEDEN
- Tarjetas
- llevado a
- llevar
- .
- cadena
- código
- Algunos
- Comprometida
- continúa
- podría
- Para contrarrestar
- países
- se adaptan
- ciberdelincuentes
- datos
- definir
- liberado
- Dependiente
- desplegar
- desplegado
- dispositivo
- una experiencia diferente
- Director
- documento
- sí
- impulsados
- Dejar caer
- cada una
- Economic
- esfuerzo
- correo
- Punto final
- criterios de valoración
- y conseguir de esta manera
- Ingeniería
- entidades
- entidad
- espionaje
- establecer
- Éter (ETH)
- Europea
- Países europeos
- Cada
- ejecutar
- Explica
- alimentación
- Archive
- financialmente
- Desde
- reunir
- Donar
- dado
- Gobierno
- Grupo procesos
- Grupo
- Difícil
- Tienen
- he
- Alta
- Inicio
- Cómo
- HTTPS
- if
- Impacto
- in
- indicar
- individuos
- energético
- infección
- Infecciones
- inicial
- Insights
- ejemplo
- Intelligence
- interesante
- intereses
- dentro
- israelí
- IT
- SUS
- JavaScript
- jpg
- solo
- conocido
- portátil
- mayores
- Lead
- cargador
- situados
- Ubicación
- Ubicaciones
- máquina
- el malware
- Management
- muchos
- Puede..
- Medios
- Militares
- más,
- MEJOR DE TU
- motivado
- motivaciones
- movimientos
- múltiples
- nombre
- Naciones
- Naturaleza
- nodo
- ,
- observar
- ocurrir
- of
- a menudo
- on
- operado
- operativos.
- or
- organización
- Otro
- Otros
- salir
- parte
- particular
- .
- los libros físicos
- Físicamente
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- puntos
- político
- posición
- posible
- posiblemente
- posible
- primario
- probabilidades
- ransomware
- reciente
- registros
- relacionado
- reporte
- representar
- la investigación
- investigadores
- resultado
- Rusia
- s
- mismo
- dice
- exploración
- escanea
- segundos
- sector
- EN LINEA
- ver
- Busca
- envía
- mayor
- sensible
- Secuencia
- de coches
- Varios
- soltero
- So
- Social
- Ingeniería social
- algo
- soluciones y
- comienza
- almacenados
- Cepas
- comercial
- tal
- quirúrgico
- vigilancia
- te
- Todas las funciones a su disposición
- toma
- Target
- orientación
- tiene como objetivo
- equipo
- Técnico
- les digas
- esa
- La
- su
- Les
- luego
- Ahí.
- ellos
- así
- esta semana
- amenaza
- actores de amenaza
- equipo
- veces
- a
- Seguimiento
- tradicionalmente
- Viajar
- se convierte
- Finalmente, a veces
- descubierto
- unidad
- desconocido
- hasta
- no usado
- us
- utilizan el
- usado
- usos
- Valioso
- diversos
- las víctimas
- quieres
- semana
- cuando
- sean
- que
- mientras
- QUIENES
- porque
- Wi-fi
- amplio
- seguirá
- ventanas
- dentro de
- obrero
- se
- daría
- zephyrnet
- Zip