Para peneliti telah menemukan malware “Whiffy Recon” yang disebarkan oleh Botnet SmokeLoader, yang merupakan pemindaian Wi-Fi khusus yang dapat dijalankan untuk sistem Windows yang melacak lokasi fisik korban.
Whiffy Recon mengambil namanya dari pengucapan Wi-Fi yang digunakan di banyak negara Eropa dan Rusia (“wiffy” bukan bahasa Amerika “why fie”). Ia mencari kartu Wi-Fi atau dongle pada sistem yang disusupi, dan kemudian memindai titik akses (AP) Wi-Fi terdekat setiap 60 detik, menurut laporan minggu ini dari Secureworks Counter Threat Unit.
Kemudian melakukan triangulasi posisi sistem yang terinfeksi dengan memasukkan data AP ke API geolokasi Google, dan kemudian mengirimkan data lokasi kembali ke musuh yang tidak dikenal.
Data Geolokasi untuk Serangan Lanjutan
Rafe Pilling, direktur penelitian ancaman untuk Unit Penanggulangan Ancaman Secureworks, mengatakan bahwa meskipun ada interval pemindaian 60 detik untuk Titik Akses, tidak jelas apakah setiap lokasi disimpan atau hanya posisi terbaru yang dikirimkan.
“Kemungkinan ada pekerja yang membawa laptop yang ada Whiffy Recon di dalamnya dapat dipetakan bepergian antara rumah dan lokasi bisnis,” katanya.
Drew Schmitt, analis utama di GuidePoint Security Research and Intelligence Team (GRIT), mengatakan bahwa wawasan tentang pergerakan individu dapat membentuk pola perilaku atau lokasi yang memungkinkan terjadinya penargetan yang lebih spesifik.
“Ini dapat digunakan untuk melacak individu yang tergabung dalam organisasi, pemerintah, atau entitas tertentu,” katanya. “Penyerang dapat menyebarkan malware secara selektif ketika sistem yang terinfeksi secara fisik berada di lokasi sensitif atau pada waktu tertentu yang akan memberi mereka kemungkinan besar keberhasilan operasional dan dampak yang tinggi.”
Shawn Surber, direktur senior manajemen akun teknis di Tanium, menyatakan bahwa laporan tersebut tidak menyebutkan industri atau sektor tertentu sebagai target utama, namun ia menambahkan, “data tersebut dapat berguna untuk spionase, pengawasan, atau penargetan fisik.”
Ia menambahkan bahwa hal ini dapat menunjukkan bahwa entitas yang disponsori negara atau berafiliasi dengan negara yang terlibat dalam kampanye spionase dunia maya yang berkepanjangan berada di balik kampanye tersebut. Contohnya, APT35 Iran dalam kampanye baru-baru ini melakukan pengintaian lokasi target media Israel, mungkin untuk potensi serangan fisik menurut para peneliti pada saat itu.
“Beberapa kelompok APT dikenal karena kepentingan mereka dalam spionase, pengawasan, dan penargetan fisik, yang sering kali didorong oleh tujuan politik, ekonomi, atau militer dari negara yang mereka wakili,” jelasnya.
SmokeLoader: Tabir Asap Atribusi
Rutinitas infeksi dimulai dengan email rekayasa sosial yang membawa arsip zip berbahaya. Ternyata itu adalah file poliglot yang berisi dokumen umpan dan file JavaScript.
Kode JavaScript kemudian digunakan untuk mengeksekusi malware SmokeLoader, yang selain menjatuhkan malware ke mesin yang terinfeksi, juga mendaftarkan titik akhir dengan perintah dan kontrol (C2) Server dan menambahkannya sebagai node dalam botnet SmokeLoader.
Akibatnya, infeksi SmokeLoader bersifat persisten dan dapat mengintai tanpa digunakan di titik akhir tanpa disadari hingga suatu kelompok memiliki malware yang ingin mereka sebarkan. Berbagai pelaku ancaman membeli akses ke botnet, sehingga infeksi SmokeLoader yang sama dapat digunakan dalam beragam kampanye.
“Kami biasa mengamati beberapa jenis malware dikirimkan ke satu infeksi SmokeLoader,” jelas Pilling. “SmokeLoader tidak pandang bulu dan biasanya digunakan serta dioperasikan oleh penjahat dunia maya yang bermotivasi finansial.”
Schmitt menunjukkan bahwa mengingat sifat as-a-service, sulit untuk mengatakan siapa yang pada akhirnya berada di balik hal ini kampanye cyber yang menggunakan SmokeLoader sebagai alat akses awal.
“Tergantung pada loadernya, mungkin ada hingga 10 atau 20 muatan berbeda yang dapat dikirimkan secara selektif ke sistem yang terinfeksi, beberapa di antaranya terkait dengan serangan ransomware dan kejahatan elektronik, sementara yang lain memiliki motivasi yang berbeda-beda,” katanya.
Karena infeksi SmokeLoader tidak pandang bulu, penggunaan Whiffy Recon untuk mengumpulkan data geolokasi mungkin merupakan upaya untuk mempersempit dan menentukan target untuk aktivitas tindak lanjut bedah yang lebih banyak.
“Seiring dengan berlanjutnya rangkaian serangan ini,” kata Schmitt, “akan menarik untuk melihat bagaimana Whiffy Recon digunakan sebagai bagian dari rantai pasca-eksploitasi yang lebih besar.”
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- ChartPrime. Tingkatkan Game Trading Anda dengan ChartPrime. Akses Di Sini.
- BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
- Sumber: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- :memiliki
- :adalah
- :bukan
- $NAIK
- 10
- 20
- 60
- a
- mengakses
- Menurut
- Akun
- manajemen akun
- kegiatan
- aktor
- tambahan
- Menambahkan
- mengizinkan
- Amerika
- an
- analis
- dan
- Apa pun
- api
- APT
- arsip
- ADALAH
- susunan
- AS
- At
- menyerang
- Serangan
- kembali
- BE
- di belakang
- makhluk
- antara
- kedua
- botnet
- bisnis
- tapi
- membeli
- by
- Kampanye
- Kampanye
- CAN
- Kartu-kartu
- dilakukan
- membawa
- membawa
- rantai
- kode
- Umum
- Dikompromikan
- terus
- bisa
- Melawan
- negara
- disesuaikan
- penjahat cyber
- data
- menetapkan
- disampaikan
- Tergantung
- menyebarkan
- dikerahkan
- alat
- berbeda
- Kepala
- dokumen
- tidak
- didorong
- Jatuhan
- setiap
- Ekonomis
- usaha
- Titik akhir
- endpoint
- mengikutsertakan
- Teknik
- entitas
- entitas
- spionase
- menetapkan
- Eter (ETH)
- Eropa
- Negara-negara Eropa
- Setiap
- menjalankan
- Menjelaskan
- pemberian makanan
- File
- secara finansial
- Untuk
- dari
- mengumpulkan
- Memberikan
- diberikan
- Pemerintah
- Kelompok
- Grup
- Sulit
- Memiliki
- he
- High
- Beranda
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- if
- Dampak
- in
- menunjukkan
- individu
- industri
- infeksi
- Infeksi
- mulanya
- wawasan
- contoh
- sebagai gantinya
- Intelijen
- menarik
- kepentingan
- ke
- Israel
- IT
- NYA
- JavaScript
- jpg
- hanya
- dikenal
- laptop
- lebih besar
- memimpin
- pemuat
- terletak
- tempat
- lokasi
- mesin
- malware
- pengelolaan
- banyak
- Mungkin..
- Media
- Militer
- lebih
- paling
- termotivasi
- motivasi
- gerak-gerik
- beberapa
- nama
- Bangsa
- Alam
- simpul
- target
- mengamati
- terjadi
- of
- sering
- on
- dioperasikan
- operasional
- or
- organisasi
- Lainnya
- Lainnya
- di luar
- bagian
- tertentu
- pola
- fisik
- Secara fisik
- plato
- Kecerdasan Data Plato
- Data Plato
- poin
- politik
- posisi
- mungkin
- mungkin
- potensi
- primer
- probabilitas
- ransomware
- baru
- register
- terkait
- melaporkan
- mewakili
- penelitian
- peneliti
- mengakibatkan
- Rusia
- s
- sama
- mengatakan
- pemindaian
- scan
- detik
- sektor
- keamanan
- melihat
- Mencari
- mengirimkan
- senior
- peka
- Urutan
- layanan
- beberapa
- tunggal
- So
- Sosial
- Rekayasa Sosial
- beberapa
- tertentu
- dimulai
- tersimpan
- Strains
- sukses
- seperti itu
- bedah
- pengawasan
- sistem
- sistem
- Dibutuhkan
- target
- penargetan
- target
- tim
- Teknis
- mengatakan
- bahwa
- Grafik
- mereka
- Mereka
- kemudian
- Sana.
- mereka
- ini
- minggu ini
- ancaman
- aktor ancaman
- waktu
- kali
- untuk
- Pelacakan
- secara tradisional
- Perjalanan
- ternyata
- Akhirnya
- terbongkar
- satuan
- tidak dikenal
- sampai
- terpakai
- us
- menggunakan
- bekas
- kegunaan
- Berharga
- berbagai
- korban
- ingin
- minggu
- ketika
- apakah
- yang
- sementara
- SIAPA
- mengapa
- Wi-fi
- lebar
- akan
- Windows
- dengan
- dalam
- pekerja
- akan
- akan memberi
- zephyrnet.dll
- Zip