SmokeLoader Malware se koristi za isporuku novog soja malware-a za skeniranje Wi-Fi mreže pod nazivom Whiffy Recon na kompromitovane Windows mašine.
“Novi soj malware-a ima samo jednu operaciju. Svakih 60 sekundi triangulira pozicije zaraženih sistema skeniranjem obližnjih Wi-Fi pristupnih tačaka kao podatkovne tačke za Googleov geolokacijski API”, navodi Secureworks Counter Threat Unit (CTU) u priopštenju. “Lokacija koju vrati Googleov Geolocation API se zatim šalje nazad hakeru.”
SmokeLoader, kao što naziv implicira, je malware za učitavanje čija je jedina svrha da ispusti payload na host. Od 2014. ovaj malware se nudi na prodaju ruskim hakerima. Tradicionalno se distribuiše putem phishing emailova.
Whiffy Recon radi tako što provjerava da li postoji usluga WLAN AutoConfig (WLANSVC) na zaraženom sistemu i ukida se ako naziv usluge ne postoji. Vrijedi napomenuti da skener ne potvrđuje da li je u funkciji.
Postojanost se postiže pomoću prečice koja se dodaje u Windows Startup folder.
“Ono što je zabrinjavajuće u vezi sa našim otkrićem Whiffy Recona je nejasna motivacija za njegovo djelovanje”, rekao je Don Smith, potpredsjednik obavještajnih podataka o prijetnjama u Secureworks CTU.
“Koga ili šta zanima stvarna lokacija zaraženog uređaja? Redovnost skeniranja na svakih 60 sekundi je neuobičajena, zašto ažurirati svake minute? Sa ovom vrstom podataka haker bi mogao stvoriti sliku geolokacije uređaja koji preslikava digitalno u fizičko.”
Malware je takođe konfigurisan da se registruje na udaljenom command-and-control(C2) serveru prosljeđivanjem nasumično generiranog “botID-a” u HTTP POST zahtjevu, nakon čega server odgovara porukom o uspjehu i tajnim jedinstvenim identifikatorom koji je naknadno sačuvan u datoteci pod nazivom “%APPDATA%\Roaming\wlan\str-12.bin.”
Druga faza napada uključuje skeniranje za Wi-Fi pristupne tačke putem Windows WLAN API-ja svakih 60 sekundi. Rezultati skeniranja se prosljeđuju Google Geolocation API-ju da se triangulira gdje se nalazi sistem i na kraju se te informacije prenesu na C2 server u obliku JSON niza.
“Ovu vrstu aktivnosti/sposobnosti vrlo rijetko koriste kriminalni hakeri”, dodao je Smith. “Kao samostalna vještina, nedostaje joj sposobnost brzog unovčavanja. Nepoznate stvari su zabrinjavajuće, a realnost je da bi se mogla koristiti za podršku bilo kojem broju podlih motiva.”
Izvor: The Hacker News