Los ciberdelincuentes detrás de la botnet Smoke Loader están utilizando una nueva pieza de malware llamada Whiffy Recon para triangular la ubicación de los dispositivos infectados a través del escaneo WiFi y la API de geolocalización de Google.
La API de geolocalización de Google es un servicio que acepta solicitudes HTTPS con información del punto de acceso WiFi y devuelve coordenadas de latitud y longitud para localizar dispositivos que no cuentan con sistema GPS.
Smoke Loader es un dropper de malware modular que existe desde hace varios años y se utiliza principalmente en las primeras etapas de un compromiso para entregar nuevas cargas útiles.
En el caso de Whiffy Recon, conocer la ubicación de la víctima podría ayudar a llevar a cabo ataques que se centren mejor en regiones específicas o incluso áreas urbanas, o ayudar a intimidar a las víctimas mostrando capacidad de seguimiento.
Dependiendo del número de puntos de acceso WiFi en el área, la precisión de la triangulación a través de la API de geolocalización de Google oscila entre 20 y 50 metros (65-165 pies) o menos, aunque esa cifra aumenta en áreas menos densas.
Escaneo WiFi Whiffy Recon
El malware primero busca el nombre del servicio ‘WLANSVC‘ y, si no existe, registra el bot en el servidor de comando y control (C2) y omite la parte de escaneo.
Para los sistemas Windows donde ese servicio está presente, Whiffy Recon ingresa a un bucle de escaneo WiFi que se ejecuta cada minuto, abusando de la API WLAN de Windows para recopilar los datos requeridos y enviando solicitudes HTTPS POST que contienen información del punto de acceso WiFi en formato JSON a la API de geolocalización de Google.
Utilizando las coordenadas en la respuesta de Google, el malware formula un informe más completo sobre los puntos de acceso, que ahora incluye su posición geográfica, método de cifrado, SSID, y lo envía al C2 del actor de la amenaza como una solicitud JSON POST.
Debido a que este proceso ocurre cada 60 segundos, podría permitir a los atacantes rastrear el dispositivo atacado casi en tiempo real.
Los investigadores de Secureworks, que descubrieron el nuevo malware el 8 de agosto, especulan que los piratas informáticos podrían utilizar la información de geolocalización para intimidar a las víctimas y presionarlas para que cumplan con sus demandas.
La nota de que el número de versión utilizado por el malware en la solicitud POST inicial al C2 es «1», lo que podría indicar la etapa de desarrollo del malware y los planes del autor para agregar mejoras o nuevas capacidades.
Fuente y redacción: underc0de.org
