El malware SmokeLoader se est\u00e1 utilizando para ofrecer una nueva cepa de malware de escaneo de Wi-Fi llamada Reconocimiento Whiffy<\/strong> en m\u00e1quinas Windows comprometidas.<\/p>\n “La nueva cepa de malware tiene una sola operaci\u00f3n. Cada 60 segundos triangula las posiciones de los sistemas infectados escaneando los puntos de acceso Wi-Fi cercanos como punto de datos para la API de geolocalizaci\u00f3n de Google”, afirma Secureworks Counter Threat Unit (CTU) dicho<\/a> en un comunicado compartido con The Hacker News. “La ubicaci\u00f3n devuelta por Google API de geolocalizaci\u00f3n<\/a> luego es devuelto al adversario.”<\/p>\n SmokeLoader, como su nombre lo indica, es un malware de carga cuyo \u00fanico prop\u00f3sito es colocar cargas \u00fatiles adicionales en un host. Desde 2014, el malware ha sido ofrecido a la venta<\/a> a los actores de amenazas con sede en Rusia. Tradicionalmente se distribuye a trav\u00e9s de correos electr\u00f3nicos de phishing.<\/p>\n Whiffy Recon funciona comprobando el servicio WLAN AutoConfig (WLANSVC) en el sistema infectado y finaliz\u00e1ndose si el nombre del servicio no existe. Vale la pena se\u00f1alar que el esc\u00e1ner no valida si est\u00e1 operativo.<\/p>\n La persistencia se logra mediante un acceso directo que se agrega a la carpeta de Inicio de Windows.<\/p>\n “Lo preocupante de nuestro descubrimiento de Whiffy Recon es que la motivaci\u00f3n para su operaci\u00f3n no est\u00e1 clara”, dijo Don Smith, vicepresidente de inteligencia de amenazas en Secureworks CTU.<\/p>\n “\u00bfQui\u00e9n o qu\u00e9 est\u00e1 interesado en la ubicaci\u00f3n real de un dispositivo infectado? La regularidad del escaneo cada 60 segundos es inusual, \u00bfpor qu\u00e9 actualizar cada minuto? Con este tipo de datos, un actor de amenazas podr\u00eda formarse una imagen de la geolocalizaci\u00f3n de un dispositivo, mapeando lo digital a lo f\u00edsico.”<\/p>\n El malware tambi\u00e9n est\u00e1 configurado para registrarse en un servidor remoto de comando y control (C2) pasando un “botID” generado aleatoriamente en una solicitud HTTP POST, despu\u00e9s de lo cual el servidor responde con un mensaje de \u00e9xito y un identificador \u00fanico secreto que posteriormente se guardado en un archivo llamado “%APPDATA%Roamingwlanstr-12.bin”.<\/p>\n La segunda fase del ataque implica buscar puntos de acceso Wi-Fi a trav\u00e9s de la API WLAN de Windows cada 60 segundos. Los resultados del escaneo se env\u00edan a la API de geolocalizaci\u00f3n de Google para triangular la ubicaci\u00f3n del sistema y, en \u00faltima instancia, transmitir esa informaci\u00f3n al servidor C2 en forma de cadena JSON.<\/p>\n “Este tipo de actividad\/capacidad rara vez es utilizado por actores criminales”, a\u00f1adi\u00f3 Smith. “Como capacidad independiente, carece de la capacidad de monetizar r\u00e1pidamente. Las inc\u00f3gnitas aqu\u00ed son preocupantes y la realidad es que podr\u00eda usarse para respaldar cualquier cantidad de motivaciones nefastas”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/European-Bank-Customers-Targeted-in-SpyNote-Android-Trojan-Campaign.png\")
<\/a><\/center><\/section>\n![\"Malware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1692908693_402_Nuevo-quotReconocimiento-Whiffyquot-El-malware-triangula-la-ubicacion-del-dispositivo.jpg\" "\\"Malware")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/China039s-APT31-Suspected-in-Attacks-on-Air-Gapped-Systems-in-Eastern.gif\")
<\/a><\/center><\/section>\n