Исследователи обнаружили вредоносное ПО Whiffy Recon, распространяемое хакерами Ботнет SmokeLoader, который представляет собой настроенный исполняемый файл сканирования Wi-Fi для систем Windows, который отслеживает физическое местонахождение жертв.
Свое название Whiffy Recon берет от произношения Wi-Fi, используемого во многих европейских странах и России («wiffy» вместо американского «why fie»). По данным компании, он ищет карты или ключи Wi-Fi в взломанных системах, а затем сканирует близлежащие точки доступа Wi-Fi (AP) каждые 60 секунд. отчет на этой неделе от Secureworks Counter Threat Unit.
Затем он триангулирует положение зараженной системы, передавая данные точки доступа в API геолокации Google, а затем отправляет данные о местоположении обратно неизвестному злоумышленнику.
Данные геолокации для последующих атак
Рэйф Пиллинг, директор по исследованию угроз подразделения Secureworks Counter Threat Unit, говорит, что, хотя для точек доступа существует 60-секундный интервал сканирования, неясно, сохраняется ли каждое местоположение или передается только самая последняя позиция.
«Вполне возможно, что рабочий с ноутбуком, на котором установлена программа Whiffy Recon, может быть нанесен на карту путешествуя между домом и работой», — говорит он.
Дрю Шмитт, ведущий аналитик группы исследований и разведки безопасности GuidePoint (GRIT), говорит, что данные о перемещениях людей могут установить закономерности в поведении или местах, которые могут позволить осуществлять более конкретный таргетинг.
«Его можно использовать для отслеживания лиц, принадлежащих к определенной организации, правительству или другому субъекту», — говорит он. «Злоумышленники могут выборочно развертывать вредоносное ПО, когда зараженная система физически расположена в секретном месте или в определенное время, что дает им высокую вероятность оперативного успеха и серьезного воздействия».
Шон Сурбер, старший директор по управлению техническими клиентами компании Tanium, отмечает, что в отчете не указана конкретная отрасль или сектор в качестве основной цели, но он добавляет, что «такие данные могут быть ценными для шпионажа, наблюдения или физического нападения».
Он добавляет, что это может указывать на то, что за кампанией стоят спонсируемые государством или аффилированные с ним организации, которые участвуют в длительных кампаниях по кибершпионажу. Например, Иранский APT35 в ходе недавней кампании проводил разведку местоположения израильских СМИ, возможно, в целях потенциальных физических атак, по мнению тогдашних исследователей.
«Некоторые группы APT известны своими интересами к шпионажу, слежке и физическим нападениям, часто обусловленными политическими, экономическими или военными целями стран, которые они представляют», — объясняет он.
SmokeLoader: дымовая завеса атрибуции
Процедура заражения начинается с электронных писем социальной инженерии, содержащих вредоносный zip-архив. Это оказывается полиглотный файл, содержащий как документ-ловушку, так и файл JavaScript.
Затем код JavaScript используется для запуска вредоносного ПО SmokeLoader, которое, помимо размещения вредоносного ПО на зараженном компьютере, регистрирует конечную точку с помощью системы управления и контроля (C2). сервер и добавляет его как узел в ботнет SmokeLoader.
В результате заражение SmokeLoader становится постоянным и может скрываться неиспользованным на ничего не подозревающих конечных точках до тех пор, пока у группы не появится вредоносное ПО, которое они хотят развернуть. Различные злоумышленники покупают доступ к ботнету, поэтому одну и ту же инфекцию SmokeLoader можно использовать в самых разных кампаниях.
«Мы часто наблюдаем, как несколько штаммов вредоносного ПО доставляются при одном заражении SmokeLoader», — объясняет Пиллинг. «SmokeLoader используется неизбирательно и традиционно используется и управляется финансово мотивированными киберпреступниками».
Шмитт отмечает, что, учитывая характер услуги как услуги, трудно сказать, кто в конечном итоге стоит за той или иной конкретной услугой. кибер-кампания, использующая SmokeLoader в качестве инструмента первоначального доступа.
«В зависимости от загрузчика может быть от 10 до 20 различных полезных данных, которые могут выборочно доставляться в зараженные системы, некоторые из которых связаны с программами-вымогателями и атаками электронных преступлений, в то время как другие имеют разные мотивы», — говорит он.
Поскольку заражение SmokeLoader происходит неизбирательно, использование Whiffy Recon для сбора данных о геолокации может быть попыткой сузить и определить цели для дальнейших хирургических действий.
«Поскольку эта последовательность атак продолжает развиваться», — говорит Шмитт, — «будет интересно посмотреть, как Whiffy Recon используется как часть более широкой цепочки действий после эксплуатации».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- ЧартПрайм. Улучшите свою торговую игру с ChartPrime. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- :имеет
- :является
- :нет
- $UP
- 10
- 20
- 60
- a
- доступ
- По
- Учетная запись
- управление счетами
- деятельность
- актеры
- дополнение
- Добавляет
- позволять
- американские
- an
- аналитик
- и
- любой
- API
- APT
- архив
- МЫ
- массив
- AS
- At
- атаковать
- нападки
- назад
- BE
- за
- не являетесь
- между
- изоферменты печени
- Ботнет
- бизнес
- но
- купить
- by
- Кампания
- Кампании
- CAN
- Карты
- проводятся
- нести
- проведение
- цепь
- код
- Общий
- Ослабленный
- продолжается
- может
- счетчик
- страны
- подгонянный
- киберпреступники
- данным
- определять
- поставляется
- в зависимости
- развертывание
- развернуть
- устройство
- различный
- директор
- документ
- приносит
- управляемый
- Опустившись
- каждый
- Экономические
- усилие
- Писем
- Конечная точка
- конечные точки
- заниматься
- Проект и
- лиц
- организация
- шпионаж
- установить
- Эфир (ETH)
- Европейская кухня
- европейские страны
- Каждая
- выполнять
- Объясняет
- кормление
- Файл
- в финансовом отношении
- Что касается
- от
- собирать
- Дайте
- данный
- Правительство
- группы
- Группы
- Жесткий
- Есть
- he
- High
- Главная
- Как
- HTTPS
- if
- Влияние
- in
- указывать
- лиц
- промышленность
- инфекция
- Инфекции
- начальный
- размышления
- пример
- вместо
- Интеллекта
- интересный
- интересы
- в
- израильтянин
- IT
- ЕГО
- JavaScript
- JPG
- всего
- известный
- портативный компьютер
- больше
- вести
- загрузчик
- расположенный
- расположение
- места
- машина
- вредоносных программ
- управление
- многих
- Май..
- Медиа
- военный
- БОЛЕЕ
- самых
- мотивированные
- мотивации
- движения
- с разными
- имя
- Наций
- природа
- узел
- целей
- наблюдать
- происходить
- of
- .
- on
- работать
- оперативный
- or
- организация
- Другое
- Другое
- внешний
- часть
- особый
- паттеранами
- физический
- Физически
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- политический
- должность
- возможное
- возможно
- потенциал
- первичный
- вероятность
- вымогателей
- последний
- регистры
- Связанный
- отчету
- представлять
- исследованиям
- исследователи
- результат
- Россия
- s
- то же
- говорит
- сканирование
- сканирует
- секунды
- сектор
- безопасность
- посмотреть
- стремится
- посылает
- старший
- чувствительный
- Последовательность
- обслуживание
- несколько
- одинарной
- So
- Соцсети
- Социальная инженерия
- некоторые
- конкретный
- начинается
- хранить
- деформации
- успех
- такие
- хирургический
- наблюдение
- система
- системы
- принимает
- цель
- направлены
- направлена против
- команда
- Технический
- сказать
- который
- Ассоциация
- их
- Их
- тогда
- Там.
- они
- этой
- На этой неделе
- угроза
- актеры угрозы
- время
- раз
- в
- Отслеживание
- Традиционно
- Путешествие
- Получается
- В конечном счете
- непокрытый
- Ед. изм
- неизвестный
- до
- неиспользованный
- us
- использование
- используемый
- использования
- ценный
- различный
- жертвы
- хотеть
- неделя
- когда
- будь то
- который
- в то время как
- КТО
- зачем
- Wi-Fi
- широкий
- будете
- окна
- в
- работник
- бы
- даст
- зефирнет
- ZIP