Forskare har upptäckt skadlig programvara "Whiffy Recon" som distribueras av SmokeLoader botnät, som är en skräddarsydd körbar Wi-Fi-skanning för Windows-system som spårar offrens fysiska platser.
Whiffy Recon har fått sitt namn från uttalet av Wi-Fi som används i många europeiska länder och Ryssland ("wiffy" istället för det amerikanska "why fie"). Den söker efter Wi-Fi-kort eller donglar på komprometterade system och söker sedan efter närliggande Wi-Fi-åtkomstpunkter (APs) var 60:e sekund, enligt en rapport denna vecka från Secureworks Counter Threat Unit.
Den triangulerar sedan det infekterade systemets position genom att mata in AP-data till Googles geolokaliserings-API och skickar sedan platsdata tillbaka till en okänd motståndare.
Geolokaliseringsdata för uppföljningsattacker
Rafe Pilling, chef för hotforskning för Secureworks Counter Threat Unit, säger att även om det finns ett 60-sekunders skanningsintervall för AP:er är det oklart om varje plats lagras eller om det bara är den senaste positionen som överförs.
"Det är möjligt att en arbetare bär en bärbar dator med Whiffy Recon på kan kartläggas reser mellan hem- och företagsplatser, säger han.
Drew Schmitt, huvudanalytiker på GuidePoint Security Research and Intelligence Team (GRIT), säger att insikter i individers rörelser kan skapa mönster i beteende eller platser som kan möjliggöra mer specifik inriktning.
"Det kan användas för att spåra individer som tillhör en specifik organisation, regering eller annan enhet", säger han. "Angripare kan selektivt distribuera skadlig programvara när det infekterade systemet är fysiskt lokaliserat på en känslig plats eller vid specifika tidpunkter som skulle ge dem en hög sannolikhet för operativ framgång och stor påverkan."
Shawn Surber, senior chef för teknisk kontohantering på Tanium, påpekar att rapporten inte anger en viss bransch eller sektor som det primära målet, men han tillägger, "sådana data kan vara värdefulla för spionage, övervakning eller fysisk inriktning."
Han tillägger att detta kan tyda på att statligt sponsrade eller statligt anslutna enheter som ägnar sig åt utdragna cyberspionagekampanjer ligger bakom kampanjen. Till exempel, Irans APT35 genomförde i en nyligen genomförd kampanj platsspaning av israeliska mediamål, möjligen i tjänst för potentiella fysiska attacker enligt forskare vid den tiden.
"Flera APT-grupper är kända för sina intressen i spionage, övervakning och fysisk inriktning, ofta drivna av de politiska, ekonomiska eller militära målen för de nationer de representerar", förklarar han.
SmokeLoader: An Attribution Smokescreen
Infektionsrutinen börjar med sociala ingenjörsmeddelanden som innehåller ett skadligt zip-arkiv. Det visar sig vara en polyglot-fil som innehåller både ett lockbetedokument och en JavaScript-fil.
JavaScript-koden används sedan för att köra SmokeLoader malware, som förutom att släppa skadlig programvara på en infekterad maskin, registrerar slutpunkten med en kommando-och-kontroll (C2) server och lägger till den som en nod i SmokeLoader-botnätet.
Som ett resultat är SmokeLoader-infektioner ihållande och kan lurar oanvända på omedvetna slutpunkter tills en grupp har skadlig programvara som de vill distribuera. Olika hotaktörer köper tillgång till botnätet, så samma SmokeLoader-infektion kan användas i ett brett utbud av kampanjer.
"Det är vanligt att vi observerar flera skadliga stammar som levereras till en enda SmokeLoader-infektion", förklarar Pilling. "SmokeLoader är urskillningslöst och traditionellt används och drivs av ekonomiskt motiverade cyberbrottslingar."
Schmitt påpekar att med tanke på dess as-a-service karaktär är det svårt att säga vem som i slutändan ligger bakom en given cyberkampanj som använder SmokeLoader som ett första åtkomstverktyg.
"Beroende på laddaren kan det finnas upp till 10 eller 20 olika nyttolaster som selektivt kan levereras till infekterade system, varav några är relaterade till ransomware och e-brottsattacker medan andra har olika motiv", säger han.
Eftersom SmokeLoader-infektioner är urskillningslösa, kan användningen av Whiffy Recon för att samla in geolokaliseringsdata vara ett försök att begränsa och definiera mål för mer kirurgisk uppföljningsaktivitet.
"När den här attacksekvensen fortsätter att utvecklas," säger Schmitt, "kommer det att bli intressant att se hur Whiffy Recon används som en del av en större kedja efter exploatering."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- ChartPrime. Höj ditt handelsspel med ChartPrime. Tillgång här.
- BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
- Källa: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- : har
- :är
- :inte
- $UPP
- 10
- 20
- 60
- a
- tillgång
- Enligt
- Konto
- kontohantering
- aktivitet
- aktörer
- Dessutom
- Lägger
- tillåter
- amerikan
- an
- analytiker
- och
- vilken som helst
- api
- APT
- arkiv
- ÄR
- array
- AS
- At
- attackera
- Attacker
- tillbaka
- BE
- bakom
- Där vi får lov att vara utan att konstant prestera,
- mellan
- båda
- botnät
- företag
- men
- Köp
- by
- Kampanj
- Kampanjer
- KAN
- Kort
- genom
- bära
- bär
- kedja
- koda
- Gemensam
- Äventyras
- fortsätter
- kunde
- Motverka
- länder
- kundanpassad
- nätbrottslingar
- datum
- definiera
- levereras
- beroende
- distribuera
- utplacerade
- anordning
- olika
- Direktör
- dokumentera
- gör
- driven
- Drop
- varje
- Ekonomisk
- ansträngning
- e
- Slutpunkt
- endpoints
- engagera
- Teknik
- enheter
- enhet
- spionage
- etablera
- Eter (ETH)
- Giltigt körkort
- Europeiska länder
- Varje
- exekvera
- Förklarar
- matning
- Fil
- ekonomiskt
- För
- från
- samla
- Ge
- ges
- Regeringen
- Grupp
- Gruppens
- Hård
- Har
- he
- Hög
- Hem
- Hur ser din drömresa ut
- HTTPS
- if
- Inverkan
- in
- indikerar
- individer
- industrin
- infektion
- Infektioner
- inledande
- insikter
- exempel
- istället
- Intelligens
- intressant
- intressen
- in
- israelisk
- IT
- DESS
- JavaScript
- jpg
- bara
- känd
- laptop
- större
- leda
- Lastaren
- belägen
- läge
- platser
- Maskinen
- malware
- ledning
- många
- Maj..
- Media
- Militär
- mer
- mest
- motiverad
- motiv
- rörelser
- multipel
- namn
- nationer
- Natur
- nod
- mål
- observera
- inträffa
- of
- Ofta
- on
- drivs
- operativa
- or
- organisation
- Övriga
- Övrigt
- ut
- del
- särskilt
- mönster
- fysisk
- Fysiskt
- plato
- Platon Data Intelligence
- PlatonData
- poäng
- politiska
- placera
- möjlig
- eventuellt
- potentiell
- primär
- Sannolikheten
- Ransomware
- senaste
- register
- relaterad
- rapport
- representerar
- forskning
- forskare
- resultera
- Ryssland
- s
- Samma
- säger
- scanning
- skannar
- sekunder
- sektor
- säkerhet
- se
- Söker
- sänder
- senior
- känslig
- Sekvens
- service
- flera
- enda
- So
- Social hållbarhet
- Samhällsteknik
- några
- specifik
- startar
- lagras
- stammar
- framgång
- sådana
- kirurgisk
- övervakning
- system
- System
- tar
- Målet
- targeting
- mål
- grupp
- Teknisk
- tala
- den där
- Smakämnen
- deras
- Dem
- sedan
- Där.
- de
- detta
- denna vecka
- hot
- hotaktörer
- tid
- gånger
- till
- Spårning
- traditionellt
- Traveling
- vänder
- Ytterst
- avtäckt
- enhet
- okänd
- tills
- oanvänd
- us
- användning
- Begagnade
- användningar
- Värdefulla
- olika
- offer
- vill
- vecka
- när
- om
- som
- medan
- VEM
- varför
- Wi-fi
- bred
- kommer
- fönster
- med
- inom
- arbetstagaren
- skulle
- skulle ge
- zephyrnet
- Postnummer