חוקרים חשפו את התוכנה הזדונית "Whiffy Recon" הנפרסת על ידי רשת הבוט SmokeLoader, שהוא קובץ הפעלה מותאם אישית לסריקת Wi-Fi עבור מערכות Windows שעוקבת אחר המיקומים הפיזיים של הקורבנות.
Whiffy Recon לוקח את שמה מהגייה של Wi-Fi המשמש במדינות רבות באירופה וברוסיה ("וויפי" במקום "למה פיי") האמריקאי. הוא מחפש כרטיסי Wi-Fi או דונגלים במערכות שנפגעו, ולאחר מכן סורק אחר נקודות גישה ל-Wi-Fi קרובות (APs) כל 60 שניות, לפי דיווח השבוע מאת Secureworks Counter Threat Unit.
לאחר מכן הוא משולש את מיקום המערכת הנגועה על ידי הזנת נתוני AP לתוך ה-API של מיקום גיאוגרפי של גוגל, ואז הוא שולח את נתוני המיקום בחזרה ליריב לא ידוע.
נתוני מיקום גיאוגרפי עבור התקפות המשך
Rafe Pilling, מנהל מחקר האיומים של Secureworks Counter Threat Unit, אומר שבעוד שיש מרווח סריקה של 60 שניות עבור APs, לא ברור אם כל מיקום מאוחסן או שזה רק המיקום האחרון ששודר.
"ייתכן שעובד נושא מחשב נייד עם Whiffy Recon עליו ניתן למפות נסיעה בין בית ועסק", הוא אומר.
דרו שמיט, אנליסט מוביל ב-GuidePoint Security Research and Intelligence Team (GRIT), אומר שתובנות לגבי תנועותיהם של אנשים עשויות לבסס דפוסי התנהגות או מיקומים שעשויים לאפשר מיקוד ספציפי יותר.
"זה יכול לשמש למעקב אחר אנשים השייכים לארגון ספציפי, ממשלה או ישות אחרת", הוא אומר. "תוקפים יכולים לפרוס תוכנות זדוניות באופן סלקטיבי כאשר המערכת הנגועה ממוקמת פיזית במיקום רגיש או בזמנים ספציפיים שיתנו להם סבירות גבוהה להצלחה מבצעית והשפעה גבוהה."
שון סורבר, מנהל בכיר לניהול חשבונות טכניים בטניום, מציין שהדוח אינו מציין תעשייה או מגזר מסוים כמטרה העיקרית, אך הוא מוסיף, "נתונים כאלה יכולים להיות בעלי ערך עבור ריגול, מעקב או מיקוד פיזי".
הוא מוסיף כי הדבר יכול להצביע על כך שמאחורי הקמפיין עומדות גופים בחסות המדינה או המזוהים עם המדינה העוסקים בקמפיינים ממושכים של ריגול סייבר. לדוגמה, ה-APT35 של איראן בקמפיין האחרון ביצע סיור מיקום של יעדי תקשורת ישראליים, אולי בשירות להתקפות פיזיות פוטנציאליות על פי חוקרים באותה תקופה.
"מספר קבוצות APT ידועות בתחומי העניין שלהן בריגול, מעקבים ומיקוד פיזי, לרוב מונעים על ידי המטרות הפוליטיות, הכלכליות או הצבאיות של האומות שהן מייצגות", הוא מסביר.
SmokeLoader: מסך עשן ייחוס
שגרת ההדבקה מתחילה במיילים של הנדסה חברתית הנושאים ארכיון zip זדוני. מסתבר שזהו קובץ פוליגלוט המכיל גם מסמך פיתוי וגם קובץ JavaScript.
לאחר מכן נעשה שימוש בקוד ה-JavaScript להפעלת תוכנת הזדונית SmokeLoader, אשר, בנוסף להטלת תוכנה זדונית על מחשב נגוע, רושמת את נקודת הקצה באמצעות פקודה ושליטה (C2) שרת ומוסיף אותו כצומת בתוך רשת הבוט SmokeLoader.
כתוצאה מכך, זיהומים של SmokeLoader הם מתמשכים ויכולים לארוב ללא שימוש בנקודות קצה שלא מדעתם עד שלקבוצה יש תוכנה זדונית שהיא רוצה לפרוס. גורמי איומים שונים קונים גישה ל-botnet, כך שניתן להשתמש באותה זיהום SmokeLoader במגוון רחב של קמפיינים.
"זה נפוץ עבורנו לראות זני תוכנות זדוניות מרובות המועברות לזיהום SmokeLoader בודד", מסביר פילינג. "SmokeLoader הוא חסר אבחנה ומשתמשים ומופעלים באופן מסורתי על ידי פושעי סייבר בעלי מוטיבציה כלכלית."
שמיט מציין כי לאור אופיו כשירות, קשה לדעת מי עומד בסופו של דבר מאחורי כל נתון קמפיין סייבר המשתמש ב-SmokeLoader ככלי גישה ראשוני.
"בהתאם למטען, יכולים להיות עד 10 או 20 מטענים שונים שיכולים להיות מועברים באופן סלקטיבי למערכות נגועות, שחלקן קשורות לתוכנת כופר ולתקיפות פשיעה אלקטרונית בעוד שלאחרות יש מניעים משתנים", הוא אומר.
מכיוון שזיהומי SmokeLoader הם חסרי הבחנה, השימוש ב-Whiffy Recon לאיסוף נתוני מיקום גיאוגרפי עשוי להיות מאמץ לצמצם ולהגדיר יעדים לפעילות המשך כירורגית יותר.
"ככל שרצף ההתקפה הזה ממשיך להתפתח", אומר שמיט, "יהיה מעניין לראות כיצד Whiffy Recon משמש כחלק משרשרת גדולה יותר שלאחר הניצול".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- ChartPrime. הרם את משחק המסחר שלך עם ChartPrime. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 10
- 20
- 60
- a
- גישה
- פי
- חֶשְׁבּוֹן
- ניהול חשבון
- פעילות
- שחקנים
- תוספת
- מוסיף
- להתיר
- אֲמֶרִיקָאִי
- an
- מנתח
- ו
- כל
- API
- APT
- ארכיון
- ARE
- מערך
- AS
- At
- לתקוף
- המתקפות
- בחזרה
- BE
- מאחור
- להיות
- בֵּין
- שניהם
- בוטנט
- עסקים
- אבל
- לִקְנוֹת
- by
- מבצע
- קמפיינים
- CAN
- כרטיסים
- נשא
- לשאת
- נושאת
- שרשרת
- קוד
- Common
- התפשר
- ממשיך
- יכול
- דלפק
- מדינות
- אישית
- עברייני אינטרנט
- נתונים
- לְהַגדִיר
- נתן
- תלוי
- לפרוס
- פרס
- מכשיר
- אחר
- מְנַהֵל
- מסמך
- עושה
- מונע
- נשמט
- כל אחד
- כַּלְכָּלִי
- מאמץ
- מיילים
- נקודת קצה
- נקודות קצה
- לעסוק
- הנדסה
- ישויות
- ישות
- ריגול
- להקים
- Ether (ETH)
- אֵירוֹפִּי
- מדינות אירופה
- כל
- לבצע
- מסביר
- האכלה
- שלח
- כלכלית
- בעד
- החל מ-
- ללקט
- לתת
- נתן
- ממשלה
- קְבוּצָה
- קבוצה
- קשה
- יש
- he
- גָבוֹהַ
- עמוד הבית
- איך
- HTTPS
- if
- פְּגִיעָה
- in
- להצביע
- אנשים
- תעשייה
- זיהום
- זיהומים
- בתחילה
- תובנות
- למשל
- במקום
- מוֹדִיעִין
- מעניין
- אינטרסים
- אל תוך
- יִשׂרְאֵלִי
- IT
- שֶׁלָה
- JavaScript
- jpg
- רק
- ידוע
- מחשב נייד
- גדול יותר
- עוֹפֶרֶת
- מטעין
- ממוקם
- מיקום
- מקומות
- מכונה
- תוכנות זדוניות
- ניהול
- רב
- מאי..
- מדיה
- צבאי
- יותר
- רוב
- מוטיבציה
- המניעים
- תנועות
- מספר
- שם
- המאוחדות
- טבע
- צומת
- יעדים
- להתבונן
- להתרחש
- of
- לעתים קרובות
- on
- מופעל
- מבצעי
- or
- ארגון
- אחר
- אחרים
- הַחוּצָה
- חלק
- מסוים
- דפוסי
- גופני
- פיזית
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודות
- פוליטי
- עמדה
- אפשרי
- יִתָכֵן
- פוטנציאל
- יְסוֹדִי
- הסתברות
- ransomware
- לאחרונה
- רושמים
- קָשׁוּר
- לדווח
- לייצג
- מחקר
- חוקרים
- תוצאה
- רוסיה
- s
- אותו
- אומר
- סריקה
- סריקות
- שניות
- מגזר
- אבטחה
- לִרְאוֹת
- מחפש
- שולח
- לחצני מצוקה לפנסיונרים
- רגיש
- רצף
- שרות
- כמה
- יחיד
- So
- חֶברָתִי
- הנדסה חברתית
- כמה
- ספציפי
- התחלות
- מאוחסן
- זנים
- הצלחה
- כזה
- כירורגי
- מעקב
- מערכת
- מערכות
- לוקח
- יעד
- מיקוד
- מטרות
- נבחרת
- טכני
- לספר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- אז
- שם.
- הֵם
- זֶה
- השבוע
- איום
- איום שחקנים
- זמן
- פִּי
- ל
- מעקב
- באופן מסורתי
- נסיעה
- פונה
- בסופו של דבר
- חָשׂוּף
- יחידה
- לא ידוע
- עד
- לא בשימוש
- us
- להשתמש
- מְשׁוּמָשׁ
- שימושים
- בעל ערך
- שונים
- קורבנות
- רוצה
- שבוע
- מתי
- אם
- אשר
- בזמן
- מי
- למה
- חיבור אינטרנט אלחוטי
- רָחָב
- יצטרך
- חלונות
- עם
- בתוך
- עובד
- היה
- היה נותן
- זפירנט
- רוכסן