26.08.2023 | Охотники за координатами: как вредонос Whiffy Recon помогает хакерам отслеживать свою добычу |
Киберпреступники, стоящие за вредоносом Smoke Loader , активно используют в своих атаках новую полезную нагрузку под названием Whiffy Recon для триангуляции местоположения инфицированных устройств посредством API геолокации Google и сканирования Wi-Fi . API геолокации Google — это сервис, предоставляемый компанией Google, который позволяет разработчикам программного обеспечения определять местоположение устройств с помощью данных о ближайших точках доступа Wi-Fi и сотовых вышек. С помощью HTTPS-запросов к данному API можно получить приблизительные координаты широты и долготы устройства, даже если оно не использует GPS. Это особенно полезно для разработки приложений, требующих информацию о местоположении пользователей, например, карт и сервисов на основе геолокации. В случае с Whiffy Recon знание местоположения жертвы может помочь хакерам провести более целенаправленные атаки с точностью до района внутри города. В зависимости от количества точек доступа Wi-Fi в районе, точность триангуляции через API геолокации Google составляет от 20 до 50 метров, хотя этот показатель увеличивается в менее плотно заселённых районах. Whiffy Recon попадает на устройство жертвы уже после заражения дроппером Smoke Loader, который устанавливает новый шпионский инструмент в виде полезной нагрузки. Работает Whiffy Recon следующим образом: сначала программа проверяет наличие в целевой системе сервиса с именем «WLANSVC». Если такового нет, программа регистрирует бота на командном сервере и полностью пропускает часть со сканированием. На системах Windows, где такой сервис присутствует, Whiffy Recon запускает цикл сканирования Wi-Fi, который выполняется каждую минуту, злоупотребляя API WLAN Windows для сбора необходимых данных и отправляя в API геолокации Google HTTPS POST-запросы, содержащие информацию о точках доступа Wi-Fi в формате JSON. Используя координаты из ответа Google, вредоносная программа формирует более полный отчёт о точках доступа, включающий их географическое положение, метод шифрования и SSID, а затем отправляет его на C2-сервер злоумышленников в виде JSON POST-запроса. Поскольку этот процесс происходит каждые 60 секунд, он может позволить злоумышленникам отслеживать взломанное устройство практически в режиме реального времени. Исследователи из Secureworks, обнаружившие это новое вредоносное ПО в начале августа, предполагают, что хакеры могут использовать информацию о местоположении, чтобы запугивать своих жертв, внушая им в голову мысль, что за ними следят, заставляя жертв таким образом выполнять указания злоумышленников. Специалисты предполагают, что Whiffy Recon в будущем будет активно развиваться хакерами, в связи с чем возможен скорый выход новых версий вредоноса с расширенным функционалом. |
Проверить безопасность сайта