I ricercatori hanno scoperto il malware “Whiffy Recon” distribuito da Botnet SmokeLoader, che è un eseguibile di scansione Wi-Fi personalizzato per sistemi Windows che tiene traccia delle posizioni fisiche delle vittime.
Whiffy Recon prende il nome dalla pronuncia del Wi-Fi utilizzato in molti paesi europei e in Russia (“wiffy” al posto dell’americano “why fie”). Cerca schede Wi-Fi o dongle sui sistemi compromessi, quindi esegue la scansione dei punti di accesso Wi-Fi (AP) nelle vicinanze ogni 60 secondi, secondo un rapporto di questa settimana della Secureworks Counter Threat Unit.
Quindi triangola la posizione del sistema infetto inserendo i dati AP nell'API di geolocalizzazione di Google e invia quindi i dati sulla posizione a un avversario sconosciuto.
Dati di geolocalizzazione per attacchi successivi
Rafe Pilling, direttore della ricerca sulle minacce per la Secureworks Counter Threat Unit, afferma che sebbene esista un intervallo di scansione di 60 secondi per gli AP, non è chiaro se ciascuna posizione viene archiviata o se si tratta solo della posizione più recente trasmessa.
“È possibile che un lavoratore porti con sé un laptop con sopra Whiffy Recon può essere mappato viaggiare tra casa e luoghi di lavoro", afferma.
Drew Schmitt, analista capo del GuidePoint Security Research and Intelligence Team (GRIT), afferma che le informazioni sui movimenti degli individui possono stabilire modelli di comportamento o posizioni che potrebbero consentire il verificarsi di obiettivi più specifici.
"Potrebbe essere utilizzato per tracciare individui appartenenti a una specifica organizzazione, governo o altra entità", afferma. “Gli aggressori potrebbero distribuire selettivamente malware quando il sistema infetto si trova fisicamente in una posizione sensibile o in momenti specifici che darebbero loro un’alta probabilità di successo operativo e di impatto elevato”.
Shawn Surber, direttore senior della gestione tecnica degli account presso Tanium, sottolinea che il rapporto non specifica un particolare settore o industria come obiettivo primario, ma aggiunge che "tali dati potrebbero essere preziosi per lo spionaggio, la sorveglianza o il targeting fisico".
Aggiunge che ciò potrebbe indicare che dietro la campagna ci sono entità sponsorizzate o affiliate allo stato che si impegnano in campagne prolungate di spionaggio informatico. Ad esempio, L'APT35 iraniano in una recente campagna ha effettuato ricognizioni sulla posizione degli obiettivi dei media israeliani, forse al servizio di potenziali attacchi fisici secondo i ricercatori dell'epoca.
“Diversi gruppi APT sono noti per i loro interessi nello spionaggio, nella sorveglianza e negli obiettivi fisici, spesso guidati da obiettivi politici, economici o militari delle nazioni che rappresentano”, spiega.
SmokeLoader: una cortina fumogena di attribuzione
La routine dell'infezione inizia con e-mail di ingegneria sociale che contengono un archivio zip dannoso. Risulta essere un file poliglotta contenente sia un documento esca che un file JavaScript.
Il codice JavaScript viene quindi utilizzato per eseguire il malware SmokeLoader che, oltre a rilasciare malware su una macchina infetta, registra l'endpoint con un comando e controllo (C2) server e lo aggiunge come nodo all'interno della botnet SmokeLoader.
Di conseguenza, le infezioni di SmokeLoader sono persistenti e possono annidarsi inutilizzate su endpoint inconsapevoli finché un gruppo non dispone di malware che desidera distribuire. Diversi autori di minacce acquistano l’accesso alla botnet, quindi la stessa infezione SmokeLoader può essere utilizzata in un’ampia gamma di campagne.
"È normale per noi osservare più ceppi di malware trasmessi a una singola infezione di SmokeLoader", spiega Pilling. "SmokeLoader è indiscriminato e tradizionalmente utilizzato e gestito da criminali informatici motivati finanziariamente."
Schmitt sottolinea che, data la sua natura di servizio, è difficile dire chi c'è alla fine dietro ogni dato campagna informatica che utilizza SmokeLoader come strumento di accesso iniziale.
"A seconda del caricatore, potrebbero esserci fino a 10 o 20 diversi payload che potrebbero essere consegnati selettivamente ai sistemi infetti, alcuni dei quali sono legati ad attacchi ransomware e di criminalità elettronica mentre altri hanno motivazioni diverse", afferma.
Poiché le infezioni da SmokeLoader sono indiscriminate, l’uso di Whiffy Recon per raccogliere dati di geolocalizzazione potrebbe rappresentare uno sforzo per restringere e definire obiettivi per ulteriori attività chirurgiche successive.
“Mentre questa sequenza di attacco continua a svolgersi”, afferma Schmitt, “sarà interessante vedere come Whiffy Recon verrà utilizzato come parte di una catena post-sfruttamento più ampia”.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Grafico Prime. Migliora il tuo gioco di trading con ChartPrime. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- :ha
- :È
- :non
- $ SU
- 10
- 20
- 60
- a
- accesso
- Secondo
- Il mio account
- gestione contabile
- attività
- attori
- aggiunta
- Aggiunge
- consentire
- americano
- an
- analista
- ed
- in qualsiasi
- api
- APT
- Archivio
- SONO
- Italia
- AS
- At
- attacco
- attacchi
- precedente
- BE
- dietro
- essendo
- fra
- entrambi
- Botnet
- affari
- ma
- Acquistare
- by
- Campagna
- Responsabile Campagne
- Materiale
- Carte
- svolta
- trasportare
- trasporto
- catena
- codice
- Uncommon
- Compromissione
- continua
- potuto
- contatore
- paesi
- personalizzate
- i criminali informatici
- dati
- definire
- consegnato
- Dipendente
- schierare
- schierato
- dispositivo
- diverso
- Direttore
- documento
- effettua
- spinto
- lancio
- ogni
- Economico
- sforzo
- endpoint
- endpoint
- impegnarsi
- Ingegneria
- entità
- entità
- spionaggio
- stabilire
- Etere (ETH)
- europeo
- Paesi europei
- Ogni
- eseguire
- Spiega
- alimentazione
- Compila il
- finanziariamente
- Nel
- da
- raccogliere
- Dare
- dato
- Enti Pubblici
- Gruppo
- Gruppo
- Hard
- Avere
- he
- Alta
- Casa
- Come
- HTTPS
- if
- Impact
- in
- indicare
- individui
- industria
- infezione
- infezioni
- inizialmente
- intuizioni
- esempio
- invece
- Intelligence
- interessante
- interessi
- ai miglioramenti
- israeliano
- IT
- SUO
- JavaScript
- jpg
- ad appena
- conosciuto
- laptop
- superiore, se assunto singolarmente.
- portare
- caricatore
- collocato
- località
- posizioni
- macchina
- il malware
- gestione
- molti
- Maggio..
- Media
- Militare
- Scopri di più
- maggior parte
- motivato
- motivazioni
- movimenti
- multiplo
- Nome
- Nazioni
- Natura
- nodo
- Obiettivi d'Esame
- osservare
- verificarsi
- of
- di frequente
- on
- operato
- operativa
- or
- organizzazione
- Altro
- Altri
- su
- parte
- particolare
- modelli
- Fisico
- Fisicamente
- Platone
- Platone Data Intelligence
- PlatoneDati
- punti
- politico
- posizione
- possibile
- forse
- potenziale
- primario
- probabilità
- ransomware
- recente
- registri
- relazionato
- rapporto
- rappresentare
- riparazioni
- ricercatori
- colpevole
- Russia
- s
- stesso
- dice
- scansione
- scansioni
- secondo
- settore
- problemi di
- vedere
- cerca
- invia
- anziano
- delicata
- Sequenza
- servizio
- alcuni
- singolo
- So
- Social
- Ingegneria sociale
- alcuni
- specifico
- inizio
- memorizzati
- Tensioni
- il successo
- tale
- chirurgico
- sorveglianza
- sistema
- SISTEMI DI TRATTAMENTO
- prende
- Target
- mira
- obiettivi
- team
- Consulenza
- dire
- che
- Il
- loro
- Li
- poi
- Là.
- di
- questo
- questa settimana
- minaccia
- attori della minaccia
- tempo
- volte
- a
- Tracking
- tradizionalmente
- Di viaggio
- si
- in definitiva
- scoperto
- unità
- Sconosciuto
- fino a quando
- non usato
- us
- uso
- utilizzato
- usa
- Prezioso
- vario
- vittime
- volere
- settimana
- quando
- se
- quale
- while
- OMS
- perché
- Wi-fi
- largo
- volere
- finestre
- con
- entro
- lavoratore
- sarebbe
- darebbe
- zefiro
- Codice postale