Di recente, gli esperti di sicurezza informatica Secureworks hanno rilevato l’emergere del malware noto come “Whiffy Recon“, rilasciato dalla botnet Smoke Loader.
Smoke Loader
La botnet Smoke Loader, presente da diversi anni nell’ecosistema delle minacce informatiche, è una rete di dispositivi che una volta infettati agiscono simultaneamente per compiere azioni dannose. La sua principale funzione è quella di diffondere altri tipi di malware, inclusi ransomware, spyware e trojan bancari.
Whiffy Recon
L’ultimo sviluppo associato a Smoke Loader è l’introduzione di un malware noto come “Whiffy Recon”. Questo software dannoso ha la caratteristica di triangolare le posizioni dei dispositivi infetti utilizzando i punti di accesso Wi-Fi vicini, utilizzando quindi l’API di geolocalizzazione di Google per ottenere le coordinate del dispositivo. I dispositivi presi di mira sarebbero quelli basati su Windows.
Funzionamento
Secondo Secureworks , il payload inizia a funzionare eseguendo la scansione del servizio WLANSVC sul dispositivo compromesso. Questa operazione viene eseguita per verificare che il dispositivo basato su Windows disponga di funzionalità wireless e si chiude qualora non presente.
La persistenza sul dispositivo viene garantita creando il collegamento wlan.Ink nella cartella “Esecuzione Automatica” di Windows.
Infine è interesante notare il codice principale del malware che presenta due cicli while:
- uno di questi registra il bot sul server C2;
- l’altro cerca la funzionalità Wi-Fi utilizzando l’API WLAN di Windows. Viene eseguito ripetutamente con intervalli di 60 secondi per continuare a ottenere dati di geolocalizzazione. I risultati della scansione vengono poi trasmessI all’API di geolocalizzazione di Google tramite una richiesta HTTP POST in una struttura dati JSON.
A rischio sicurezza e privacy
Quale sia lo scopo per ottenere queste informazioni non è chiaro, ma i ricercatori sospettano che potrebbero essere utilizzate “per intimidire le vittime o spingerle a soddisfare le richieste“.
Ciò solleva serie questioni sulla sicurezza dei dispositivi e la privacy degli utenti.
Ulteriori IoC sono disponibili sul blog Secureworks.
Il 29 agosto 2023 ThreatWire ha pubblicato un video servizio dal titolo “Whiffy Recon Can Track Your Physical Location”.
Articolo aggiornato il 30 agosto 2023