Whiffy Recon, il nuovo malware geolocalizza i dispositivi infetti

Di recente, gli esperti di sicurezza informatica Secureworks hanno rilevato l’emergere del malware noto come “Whiffy Recon“, rilasciato dalla botnet Smoke Loader.

Smoke Loader

La botnet Smoke Loader, presente da diversi anni nell’ecosistema delle minacce informatiche, è una rete di dispositivi che una volta infettati agiscono simultaneamente per compiere azioni dannose. La sua principale funzione è quella di diffondere altri tipi di malware, inclusi ransomware, spyware e trojan bancari.

Whiffy Recon

L’ultimo sviluppo associato a Smoke Loader è l’introduzione di un malware noto come “Whiffy Recon”. Questo software dannoso ha la caratteristica di triangolare le posizioni dei dispositivi infetti utilizzando i punti di accesso Wi-Fi vicini, utilizzando quindi l’API di geolocalizzazione di Google per ottenere le coordinate del dispositivo. I dispositivi presi di mira sarebbero quelli basati su Windows.

Funzionamento

Secondo Secureworks , il payload inizia a funzionare eseguendo la scansione del servizio WLANSVC sul dispositivo compromesso. Questa operazione viene eseguita per verificare che il dispositivo basato su Windows disponga di funzionalità wireless e si chiude qualora non presente.

La persistenza sul dispositivo viene garantita creando il collegamento wlan.Ink nella cartella “Esecuzione Automatica” di Windows.

Fonte Secureworks

Infine è interesante notare il codice principale del malware che presenta due cicli while:

  • uno di questi registra il bot sul server C2;
  • l’altro cerca la funzionalità Wi-Fi utilizzando l’API WLAN di Windows. Viene eseguito ripetutamente con intervalli di 60 secondi per continuare a ottenere dati di geolocalizzazione. I risultati della scansione vengono poi trasmessI all’API di geolocalizzazione di Google tramite una richiesta HTTP POST in una struttura dati JSON.
Fonte Secureworks

A rischio sicurezza e privacy

Quale sia lo scopo per ottenere queste informazioni non è chiaro, ma i ricercatori sospettano che potrebbero essere utilizzate “per intimidire le vittime o spingerle a soddisfare le richieste“.

Ciò solleva serie questioni sulla sicurezza dei dispositivi e la privacy degli utenti.

Ulteriori IoC sono disponibili sul blog Secureworks.

Il 29 agosto 2023 ThreatWire ha pubblicato un video servizio dal titolo “Whiffy Recon Can Track Your Physical Location”.

Fonte ThreatWire

Articolo aggiornato il 30 agosto 2023

Su Salvatore Lombardo 323 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.