Les chercheurs ont découvert le malware « Whiffy Recon » déployé par le Botnet SmokeLoader, qui est un exécutable d'analyse Wi-Fi personnalisé pour les systèmes Windows qui suit l'emplacement physique des victimes.
Whiffy Recon tire son nom de la prononciation du Wi-Fi utilisée dans de nombreux pays européens et en Russie (« wiffy » au lieu du « pourquoi fie » américain). Il recherche les cartes ou dongles Wi-Fi sur les systèmes compromis, puis recherche les points d'accès Wi-Fi (AP) à proximité toutes les 60 secondes, selon un rapport cette semaine de Secureworks Counter Threat Unit.
Il triangule ensuite la position du système infecté en introduisant les données AP dans l'API de géolocalisation de Google, puis renvoie les données de localisation à un adversaire inconnu.
Données de géolocalisation pour les attaques ultérieures
Rafe Pilling, directeur de la recherche sur les menaces pour la Secureworks Counter Threat Unit, affirme que même s'il existe un intervalle d'analyse de 60 secondes pour les points d'accès, il n'est pas clair si chaque emplacement est stocké ou s'il s'agit simplement de la position la plus récente transmise.
"Il est possible qu'un travailleur portant un ordinateur portable avec Whiffy Recon dessus peut être cartographié voyager entre le domicile et le lieu de travail », dit-il.
Drew Schmitt, analyste principal de l'équipe de recherche et de renseignement sur la sécurité de GuidePoint (GRIT), affirme que les informations sur les mouvements des individus peuvent établir des modèles de comportement ou de localisation qui peuvent permettre un ciblage plus spécifique.
"Il pourrait être utilisé pour suivre des individus appartenant à une organisation, un gouvernement ou une autre entité spécifique", dit-il. « Les attaquants pourraient déployer des logiciels malveillants de manière sélective lorsque le système infecté se trouve physiquement dans un emplacement sensible ou à des moments précis, ce qui leur donnerait une forte probabilité de succès opérationnel et un impact élevé. »
Shawn Surber, directeur principal de la gestion des comptes techniques chez Tanium, souligne que le rapport ne précise pas une industrie ou un secteur particulier comme cible principale, mais il ajoute : « de telles données pourraient être utiles à des fins d'espionnage, de surveillance ou de ciblage physique ».
Il ajoute que cela pourrait indiquer que des entités parrainées ou affiliées à l’État qui se livrent à des campagnes de cyberespionnage prolongées sont à l’origine de cette campagne. Par exemple, L'APT35 iranien, lors d'une récente campagne, a effectué une reconnaissance de localisation des cibles médiatiques israéliennes, peut-être au service d’attaques physiques potentielles selon les chercheurs de l’époque.
« Plusieurs groupes APT sont connus pour leurs intérêts en matière d’espionnage, de surveillance et de ciblage physique, souvent motivés par les objectifs politiques, économiques ou militaires des pays qu’ils représentent », explique-t-il.
SmokeLoader : un écran de fumée d'attribution
La routine d'infection commence par des e-mails d'ingénierie sociale contenant une archive zip malveillante. Cela s'avère être un fichier polyglotte contenant à la fois un document leurre et un fichier JavaScript.
Le code JavaScript est ensuite utilisé pour exécuter le malware SmokeLoader, qui, en plus de déposer le malware sur une machine infectée, enregistre le point final avec un système de commande et de contrôle (C2). serveur et l'ajoute en tant que nœud au sein du botnet SmokeLoader.
En conséquence, les infections SmokeLoader sont persistantes et peuvent rester inutilisées sur les points finaux à leur insu jusqu'à ce qu'un groupe dispose de logiciels malveillants qu'il souhaite déployer. Divers acteurs malveillants achètent l’accès au botnet, de sorte que la même infection SmokeLoader peut être utilisée dans un large éventail de campagnes.
« Il est courant que nous observions plusieurs souches de logiciels malveillants transmises à une seule infection SmokeLoader », explique Pilling. "SmokeLoader est aveugle et traditionnellement utilisé et exploité par des cybercriminels motivés par l'argent."
Schmitt souligne qu'étant donné sa nature de service, il est difficile de dire qui est finalement derrière tel ou tel service. cyber-campagne qui utilise SmokeLoader comme outil d'accès initial.
« En fonction du chargeur, il peut y avoir jusqu'à 10 ou 20 charges utiles différentes qui pourraient être transmises de manière sélective aux systèmes infectés, dont certaines sont liées à des ransomwares et à des attaques de cybercriminalité, tandis que d'autres ont des motivations diverses », explique-t-il.
Étant donné que les infections par SmokeLoader sont aveugles, l'utilisation de Whiffy Recon pour collecter des données de géolocalisation peut être un effort pour affiner et définir des cibles pour une activité de suivi plus chirurgicale.
"Alors que cette séquence d'attaque continue de se dérouler", dit Schmitt, "il sera intéressant de voir comment Whiffy Recon est utilisé dans le cadre d'une chaîne post-exploitation plus large."
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- GraphiquePrime. Élevez votre jeu de trading avec ChartPrime. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- :possède
- :est
- :ne pas
- $UP
- 10
- 20
- 60
- a
- accès
- Selon
- Compte
- à la gestion des comptes
- activité
- acteurs
- ajout
- Ajoute
- permettre
- Américaine
- an
- analyste
- ainsi que
- tous
- api
- APT
- Archive
- SONT
- tableau
- AS
- At
- attaquer
- Attaques
- RETOUR
- BE
- derrière
- va
- jusqu'à XNUMX fois
- tous les deux
- Botnet
- la performance des entreprises
- mais
- acheter
- by
- Campagne
- Campagnes
- CAN
- Cartes
- réalisée
- porter
- la réalisation
- chaîne
- code
- Commun
- Compromise
- continue
- pourriez
- Counter
- d'exportation
- sont adaptées
- les cybercriminels
- données
- Vous permet de définir
- livré
- Selon
- déployer
- déployé
- dispositif
- différent
- Directeur
- document
- entraîné
- Goutte
- chacun
- Économique
- effort
- emails
- Endpoint
- critères
- s'engager
- ENGINEERING
- entités
- entité
- espionnage
- établir
- Ether (ETH)
- du
- Les pays européens
- Chaque
- exécuter
- Explique
- alimentation
- Déposez votre dernière attestation
- financièrement
- Pour
- De
- recueillir
- Donner
- donné
- Gouvernement
- Réservation de groupe
- Groupes
- Dur
- Vous avez
- he
- Haute
- Accueil
- Comment
- HTTPS
- if
- Impact
- in
- indiquer
- individus
- industrie
- infection
- Infections
- initiale
- idées.
- instance
- plutôt ;
- Intelligence
- intéressant
- intérêts
- développement
- israélien
- IT
- SES
- JavaScript
- jpg
- juste
- connu
- portatif
- plus importantes
- conduire
- chargeur
- situé
- emplacement
- emplacements
- click
- malware
- gestion
- de nombreuses
- Mai..
- Médias
- Militaire
- PLUS
- (en fait, presque toutes)
- motivés
- motivations
- mouvements
- plusieurs
- prénom
- Nations
- Nature
- nœud
- objectifs
- observer
- se produire
- of
- souvent
- on
- réalisés
- opérationnel
- or
- organisation
- Autre
- Autres
- ande
- partie
- particulier
- motifs
- Physique
- Physiquement
- Platon
- Intelligence des données Platon
- PlatonDonnées
- des notes bonus
- politique
- position
- possible
- peut-être
- défaillances
- primaire
- probabilité
- ransomware
- récent
- registres
- en relation
- rapport
- représentent
- un article
- chercheurs
- résultat
- Russie
- s
- même
- dit
- balayage
- analyse
- secondes
- secteur
- sécurité
- sur le lien
- Cherche
- envoie
- supérieur
- sensible
- Séquence
- service
- plusieurs
- unique
- So
- Réseaux sociaux
- Ingénierie sociale
- quelques
- groupe de neurones
- départs
- stockée
- Variétés de Cannabis
- succès
- tel
- chirurgical
- surveillance
- combustion propre
- Système
- prend
- Target
- ciblage
- objectifs
- équipe
- Technique
- dire
- qui
- La
- leur
- Les
- puis
- Là.
- l'ont
- this
- cette semaine
- menace
- acteurs de la menace
- fiable
- fois
- à
- Tracking
- traditionnellement
- Voyages
- se tourne
- En fin de compte
- découvert
- unité
- inconnu
- jusqu'à
- inutilisé
- us
- utilisé
- d'utiliser
- Usages
- Précieux
- divers
- victimes
- souhaitez
- semaine
- quand
- que
- qui
- tout en
- WHO
- why
- Wi-fi
- large
- sera
- fenêtres
- comprenant
- dans les
- travailleur
- pourra
- donnerait
- zéphyrnet
- Zip