El malware SmokeLoader se está utilizando para ofrecer una nueva cepa de malware de escaneo de Wi-Fi llamada Reconocimiento Whiffy en máquinas Windows comprometidas.
«La nueva cepa de malware tiene una sola operación. Cada 60 segundos triangula las posiciones de los sistemas infectados escaneando los puntos de acceso Wi-Fi cercanos como punto de datos para la API de geolocalización de Google», afirma Secureworks Counter Threat Unit (CTU) dicho en un comunicado compartido con The Hacker News. «La ubicación devuelta por Google API de geolocalización luego es devuelto al adversario.»
SmokeLoader, como su nombre lo indica, es un malware de carga cuyo único propósito es colocar cargas útiles adicionales en un host. Desde 2014, el malware ha sido ofrecido a la venta a los actores de amenazas con sede en Rusia. Tradicionalmente se distribuye a través de correos electrónicos de phishing.
Whiffy Recon funciona comprobando el servicio WLAN AutoConfig (WLANSVC) en el sistema infectado y finalizándose si el nombre del servicio no existe. Vale la pena señalar que el escáner no valida si está operativo.
La persistencia se logra mediante un acceso directo que se agrega a la carpeta de Inicio de Windows.
«Lo preocupante de nuestro descubrimiento de Whiffy Recon es que la motivación para su operación no está clara», dijo Don Smith, vicepresidente de inteligencia de amenazas en Secureworks CTU.
«¿Quién o qué está interesado en la ubicación real de un dispositivo infectado? La regularidad del escaneo cada 60 segundos es inusual, ¿por qué actualizar cada minuto? Con este tipo de datos, un actor de amenazas podría formarse una imagen de la geolocalización de un dispositivo, mapeando lo digital a lo físico.»
El malware también está configurado para registrarse en un servidor remoto de comando y control (C2) pasando un «botID» generado aleatoriamente en una solicitud HTTP POST, después de lo cual el servidor responde con un mensaje de éxito y un identificador único secreto que posteriormente se guardado en un archivo llamado «%APPDATA%Roamingwlanstr-12.bin».
La segunda fase del ataque implica buscar puntos de acceso Wi-Fi a través de la API WLAN de Windows cada 60 segundos. Los resultados del escaneo se envían a la API de geolocalización de Google para triangular la ubicación del sistema y, en última instancia, transmitir esa información al servidor C2 en forma de cadena JSON.
«Este tipo de actividad/capacidad rara vez es utilizado por actores criminales», añadió Smith. «Como capacidad independiente, carece de la capacidad de monetizar rápidamente. Las incógnitas aquí son preocupantes y la realidad es que podría usarse para respaldar cualquier cantidad de motivaciones nefastas».