Researchers have uncovered the “Whiffy Recon” malware being deployed by the SmokeLoader botnet, which is a customized Wi-Fi scanning executable for Windows systems that tracks the physical locations of victims.
Whiffy Recon takes its name from the pronunciation of Wi-Fi used in many European countries and Russia (“wiffy” instead of the American “why fie”). It seeks out Wi-Fi cards or dongles on compromised systems, and then scans for nearby Wi-Fi access points (APs) every 60 seconds, according to a report this week from Secureworks Counter Threat Unit.
It then triangulates the infected system’s position by feeding the AP data into Google’s geolocation API, and it then sends the location data back to an unknown adversary.
Geolocation Data for Follow-on Attacks
Rafe Pilling, director of threat research for the Secureworks Counter Threat Unit, says that while there is a 60-second scanning interval for APs, it is unclear whether each location is being stored or if it’s just most recent position transmitted.
“It is possible that a worker carrying a laptop with Whiffy Recon on it can be mapped traveling between home and business locations,” he says.
Drew Schmitt, lead analyst on GuidePoint Security Research and Intelligence Team (GRIT), says that insights into the movements of individuals may establish patterns in behavior or locations which may allow for more specific targeting to occur.
“It could be used for tracking individuals belonging to a specific organization, government, or other entity,” he says. “Attackers could selectively deploy malware when the infected system is physically located in a sensitive location or at specific times that would give them a high probability of operational success and high impact.”
Shawn Surber, senior director of technical account management at Tanium, points out the report does not specify a particular industry or sector as the primary target, but he adds, “such data could be valuable for espionage, surveillance, or physical targeting.”
He adds that this could indicate that state-sponsored or state-affiliated entities that engage in prolonged cyber-espionage campaigns are behind the campaign. For instance, Iran’s APT35 in a recent campaign carried out location reconnaissance of Israeli media targets, possibly in service to potential physical attacks according to researchers at the time.
“Several APT groups are known for their interests in espionage, surveillance, and physical targeting, often driven by the political, economic, or military objectives of the nations they represent,” he explains.
SmokeLoader: An Attribution Smokescreen
The infection routine starts with social engineering emails that carry a malicious zip archive. That turns out to be a polyglot file containing both a decoy document and a JavaScript file.
The JavaScript code is then used to execute the SmokeLoader malware, which, in addition to dropping malware onto an infected machine, registers the endpoint with a command-and-control (C2) سرور and adds it as a node within the SmokeLoader botnet.
As a result, SmokeLoader infections are persistent and can lurk unused on unwitting endpoints until a group has malware they want to deploy. Various threat actors buy access to the botnet, so the same SmokeLoader infection can be used in a wide array of campaigns.
“It is common for us to observe multiple malware strains being delivered to a single SmokeLoader infection,” Pilling explains. “SmokeLoader is indiscriminate and traditionally used and operated by financially motivated cybercriminals.”
Schmitt points out that given its as-a-service nature, it’s hard to tell who is ultimately behind any given cyber campaign that uses SmokeLoader as an initial access tool.
“Depending on the loader, there could be up to 10 or 20 different payloads that could be selectively delivered to infected systems, some of which are related to ransomware and e-crime attacks while others have varying motivations,” he says.
Since SmokeLoader infections are indiscriminate, the use of Whiffy Recon to gather geolocation data may be an effort to narrow and define targets for more surgical follow-on activity.
“As this attack sequence continues to unfold,” Schmitt says, “it will be interesting to see how Whiffy Recon is used as a part of a larger post-exploitation chain.”
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ آٹوموٹو / ای وی، کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- چارٹ پرائم۔ ChartPrime کے ساتھ اپنے ٹریڈنگ گیم کو بلند کریں۔ یہاں تک رسائی حاصل کریں۔
- بلاک آفسیٹس۔ ماحولیاتی آفسیٹ ملکیت کو جدید بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- : ہے
- : ہے
- : نہیں
- $UP
- 10
- 20
- 60
- a
- تک رسائی حاصل
- کے مطابق
- اکاؤنٹ
- اکاؤنٹ مینجمنٹ
- سرگرمی
- اداکار
- اس کے علاوہ
- جوڑتا ہے
- کی اجازت
- امریکی
- an
- تجزیہ کار
- اور
- کوئی بھی
- اے پی آئی
- اے پی ٹی
- محفوظ شدہ دستاویزات
- کیا
- لڑی
- AS
- At
- حملہ
- حملے
- واپس
- BE
- پیچھے
- کیا جا رہا ہے
- کے درمیان
- دونوں
- کی botnet
- کاروبار
- لیکن
- خرید
- by
- مہم
- مہمات
- کر سکتے ہیں
- کارڈ
- کیا ہوا
- لے جانے کے
- لے جانے والا۔
- چین
- کوڈ
- کامن
- سمجھوتہ کیا
- جاری ہے
- سکتا ہے
- مقابلہ
- ممالک
- اپنی مرضی کے مطابق
- cybercriminals
- اعداد و شمار
- وضاحت
- ڈیلیور
- منحصر ہے
- تعیناتی
- تعینات
- آلہ
- مختلف
- ڈائریکٹر
- دستاویز
- کرتا
- کارفرما
- چھوڑنا
- ہر ایک
- اقتصادی
- کوشش
- ای میل
- اختتام پوائنٹ
- اختتام
- مشغول
- انجنیئرنگ
- اداروں
- ہستی
- جاسوسی
- قائم کرو
- Ether (ETH)
- یورپی
- یورپی ممالک
- ہر کوئی
- عملدرآمد
- بیان کرتا ہے
- کھانا کھلانا
- فائل
- مالی طور پر
- کے لئے
- سے
- جمع
- دے دو
- دی
- گوگل
- حکومت
- گروپ
- گروپ کا
- ہارڈ
- ہے
- he
- ہائی
- ہوم پیج (-)
- کس طرح
- HTTPS
- if
- اثر
- in
- اشارہ کرتے ہیں
- افراد
- صنعت
- انفیکشن
- انفیکشن
- ابتدائی
- بصیرت
- مثال کے طور پر
- کے بجائے
- انٹیلی جنس
- دلچسپ
- مفادات
- میں
- اسرائیلی
- IT
- میں
- جاوا سکرپٹ
- فوٹو
- صرف
- جانا جاتا ہے
- لیپ ٹاپ
- بڑے
- قیادت
- بارک
- واقع ہے
- محل وقوع
- مقامات
- مشین
- میلویئر
- انتظام
- بہت سے
- مئی..
- میڈیا
- فوجی
- زیادہ
- سب سے زیادہ
- حوصلہ افزائی
- منشا
- تحریکوں
- ایک سے زیادہ
- نام
- متحدہ
- فطرت، قدرت
- نوڈ
- مقاصد
- مشاہدہ
- واقع
- of
- اکثر
- on
- چل رہا ہے
- آپریشنل
- or
- تنظیم
- دیگر
- دیگر
- باہر
- حصہ
- خاص طور پر
- پیٹرن
- جسمانی
- جسمانی طورپر
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹس
- سیاسی
- پوزیشن
- ممکن
- ممکنہ طور پر
- ممکنہ
- پرائمری
- امکان
- ransomware کے
- حال ہی میں
- رجسٹر
- متعلقہ
- رپورٹ
- کی نمائندگی
- تحقیق
- محققین
- نتیجہ
- روس
- s
- اسی
- کا کہنا ہے کہ
- سکیننگ
- اسکین کرتا ہے
- سیکنڈ
- شعبے
- سیکورٹی
- دیکھنا
- ڈھونڈتا ہے
- بھیجتا ہے
- سینئر
- حساس
- تسلسل
- سروس
- کئی
- ایک
- So
- سماجی
- معاشرتی انجینرنگ
- کچھ
- مخصوص
- شروع ہوتا ہے
- ذخیرہ
- کشیدگی
- کامیابی
- اس طرح
- جراحی
- نگرانی
- کے نظام
- سسٹمز
- لیتا ہے
- ہدف
- ھدف بندی
- اہداف
- ٹیم
- ٹیکنیکل
- بتا
- کہ
- ۔
- ان
- ان
- تو
- وہاں.
- وہ
- اس
- اس ہفتے
- خطرہ
- دھمکی دینے والے اداکار
- وقت
- اوقات
- کرنے کے لئے
- ٹریکنگ
- روایتی طور پر
- سفر
- دیتا ہے
- آخر میں
- بے نقاب
- یونٹ
- نامعلوم
- جب تک
- غیر استعمال شدہ
- us
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- استعمال
- قیمتی
- مختلف
- متاثرین
- چاہتے ہیں
- ہفتے
- جب
- چاہے
- جس
- جبکہ
- ڈبلیو
- کیوں
- وائی فائی
- وسیع
- گے
- کھڑکیاں
- ساتھ
- کے اندر
- کارکن
- گا
- دوں گا
- زیفیرنیٹ
- زپ