Το malware SmokeLoader χρησιμοποιείται για την παράδοση μιας νέας ποικιλίας κακόβουλου λογισμικού σάρωσης Wi-Fi με το όνομα Whiffy Recon σε μολυσμένα μηχανήματα με λειτουργικό σύστημα Windows.
Δείτε επίσης: Lapsus$: Έφηβοι hackers καταδικάζονται για hacking μεγάλων εταιρειών
“Το νέο στέλεχος κακόβουλου λογισμικού έχει μόνο μία λειτουργία. Κάθε 60 δευτερόλεπτα τριγωνοποιεί τις θέσεις των μολυσμένων συστημάτων σαρώνοντας κοντινά σημεία πρόσβασης Wi-Fi ως σημείο δεδομένων για το API γεωγραφικής τοποθεσίας της Google”, δήλωσε η Secureworks Counter Threat Unit (CTU) σε μια κοινή δήλωση με το The Hacker News. “Η τοποθεσία που επιστρέφεται από το API Geolocation της Google αποστέλλεται στη συνέχεια στο adversary.”
Δείτε επίσης: 3,000 Openfire servers ευάλωτοι σε takeover επιθέσεις
Ο SmokeLoader, όπως υποδηλώνει το όνομά του, είναι ένα κακόβουλο λογισμικό φορτωτής του οποίου ο μοναδικός σκοπός είναι να εγκαταστήσει επιπλέον φορτία σε έναν υπολογιστή. Από το 2014, αυτό το κακόβουλο λογισμικό προσφέρεται προς πώληση σε απειλητικούς παράγοντες με έδρα τη Ρωσία. Συνήθως διανέμεται μέσω απάτης με ηλεκτρονικά μηνύματα.
Το Whiffy Recon λειτουργεί ελέγχοντας την υπηρεσία WLAN AutoConfig (WLANSVC) στο μολυσμένο σύστημα και τερματίζεται αν το όνομα της υπηρεσίας δεν υπάρχει. Αξίζει να σημειωθεί ότι το πρόγραμμα σάρωσης δεν επιβεβαιώνει αν είναι λειτουργικό.
Η επιμονή επιτυγχάνεται μέσω μιας συντόμευσης που προστίθεται στον φάκελο Windows Startup.
Το malware έχει επίσης ρυθμιστεί ώστε να κάνει εγγραφή σε έναν απομακρυσμένο διακομιστή εντολών και ελέγχου (C2) μεταβιβάζοντας ένα τυχαία δημιουργημένο “botID” σε ένα HTTP POST request, μετά το οποίο ο διακομιστής απαντά με ένα μήνυμα επιτυχίας και ένα μοναδικό μυστικό που προσδιορίζεται στη συνέχεια αποθηκευμένο σε ένα αρχείο με το όνομα “%APPDATA%\Roaming\wlan\str-12.bin.”
Δείτε επίσης: Discord: Ενημερώνει χρήστες που επηρεάστηκαν από προηγούμενη παραβίαση δεδομένων
Η δεύτερη φάση της επίθεσης περιλαμβάνει τη σάρωση για σημεία πρόσβασης Wi-Fi μέσω του Windows WLAN API κάθε 60 δευτερόλεπτα. Τα αποτελέσματα της σάρωσης αποστέλλονται στο Google Geolocation API για να τριγωνοποιηθεί η τοποθεσία του συστήματος και τελικά να μεταδοθούν αυτές οι πληροφορίες στον C2 server ως ένα JSON string.
Πηγή πληροφοριών: thehackernews.com
