Il gruppo che ha utilizzato lo Smoke Loader sta ora utilizzando un nuovo malware chiamato Whiffy Recon, che triangola la posizione dei dispositivi infetti utilizzando la scansione WiFi e l’API di geolocalizzazione di Google.
Le API di geolocalizzazione di Google, come dice chiaramente il nome, fanno esattamente ciò che sembra. Prendono in pasto le informazioni sui punti di accesso WiFi e forniscono le coordinate, aiutando le app (o, in questo caso, gli aggressori) a localizzare i dispositivi privi di sistemi di localizzazione GPS.
Smoke Loader è noto per i suoi casi d’uso modulari e per essere un malware dropper già noto da tempo e viene solitamente distribuito tramite e-mail di phishing. Il suo scopo è quello di rilasciare payload aggiuntivi ed è disponibile per la vendita dal 2014. Ma ora può essere distribuito con Whiffy Recon come uno dei suoi payload.
Ecco come avviene l’infezione di un dispositivo target: Whiffy Recon controlla innanzitutto se nel sistema Windows è presente un servizio denominato “WLANSVC“. Se non lo trova, c’è poco da fare, notifica al server di C&C l’impossibilità di procedere. Se invece il servizio esiste, lancia una scansione WiFi, utilizzando l’API WLAN di Windows per raccogliere dati. Quindi invia richieste HTTPS POST all’API di geolocalizzazione di Google con informazioni sui punti di accesso WiFi in formato JSON. In cambio, riceve le coordinate di latitudine e longitudine. Un volta ottenuta la risposta da Google, il malware elabora un rapporto dettagliato sui punti di accesso, compresa la loro posizione, il metodo di crittografia e l’SSID. Queste informazioni arrivano direttamente al centro di comando e controllo dell’attore della minaccia.
Questo processo viene eseguito il loop ogni 60 secondi. Ciò equivale al tracciamento (quasi) in tempo reale della vittima.
I ricercatori di Secureworks hanno scoperto questo malware l’8 agosto 2023 e ipotizzano che gli hacker potrebbero utilizzare la posizione geografica delle vittime per intimorirle, oppure potrebbero consentire agli aggressori di concentrarsi su regioni o aree urbane specifiche per gli attacchi.
Nelle API viene specificato il numero di versione, ciò potrebbe far ipotizzare che questo malware è ancora in fase di sviluppo e che in futuro potrebbero essere rilasciate nuove versioni.
Seguiamo gli sviluppi per scoprire come evolverà la situazione e come verranno sfruttati i dati raccolti.
Fonte: Hak5 YT Channel