El nuevo malware Whiffy Recon triangula la ubicación del dispositivo infectado por medio de WiFi cada minuto
El nuevo malware Whiffy Recon triangula la ubicación del dispositivo infectado a través de WiFi cada minuto
El malware SmokeLoader se está empleando para transportar un nuevo tipo de malware denominado Whiffy Recon, el cual se encarga de efectuar un rastreo de redes Wi-Fi en máquinas con Windows que han sido comprometidas.
SmokeLoader, tal como sugiere su nombre, es un malware de carga cuyo único propósito es introducir cargas adicionales en un anfitrión. Desde 2014, este malware ha estado disponible para actores de amenazas con base en Rusia. Tradicionalmente, se distribuye a través de correos electrónicos de phishing.
Whiffy Recon funciona revisando si el servicio de Configuración Automática de WLAN (WLANSVC) está presente en el sistema infectado y se autoanula si el nombre del servicio no existe. Vale la pena señalar que el escáner no verifica si está en funcionamiento.
La persistencia se logra mediante un acceso directo que se agrega a la carpeta de Inicio de Windows.
El malware también está configurado para registrarse en un servidor de comando y control (C2) remoto al enviar un «botID» generado al azar en una solicitud POST HTTP, tras lo cual, el servidor responde con un mensaje de éxito y un identificador único secreto que se guarda posteriormente en un archivo llamado «%APPDATA%\Roaming\wlan\str-12.bin».
La segunda fase del ataque implica rastrear puntos de acceso Wi-Fi mediante la API de WLAN de Windows cada 60 segundos. Los resultados de este rastreo se envían a la API de Geolocalización de Google para determinar la ubicación del sistema y, finalmente, transmitir esa información al servidor C2 en forma de una cadena JSON.