Le malware SmokeLoader est utilisé pour proposer une nouvelle souche de malware d’analyse Wi-Fi appelée Reconnaissance Whiffy sur les machines Windows compromises.
« La nouvelle souche de malware n’a qu’une seule opération. Toutes les 60 secondes, elle triangule les positions des systèmes infectés en analysant les points d’accès Wi-Fi à proximité comme point de données pour l’API de géolocalisation de Google », a déclaré Secureworks Counter Threat Unit (CTU). dit dans une déclaration partagée avec The Hacker News. « L’emplacement renvoyé par Google API de géolocalisation est ensuite renvoyé à l’adversaire.
SmokeLoader, comme son nom l’indique, est un malware de chargement dont le seul objectif est de déposer des charges utiles supplémentaires sur un hôte. Depuis 2014, le malware est proposé à la vente aux acteurs menaçants basés en Russie. Il est traditionnellement distribué via des e-mails de phishing.
Whiffy Recon fonctionne en recherchant le service WLAN AutoConfig (WLANSVC) sur le système infecté et en s’arrêtant si le nom du service n’existe pas. Il est à noter que le scanner ne valide pas s’il est opérationnel.
La persistance est obtenue au moyen d’un raccourci ajouté au dossier de démarrage de Windows.
« Ce qui est préoccupant à propos de notre découverte de Whiffy Recon, c’est que la motivation de son opération n’est pas claire », a déclaré Don Smith, vice-président du renseignement sur les menaces chez Secureworks CTU.
« Qui, ou quoi, s’intéresse à la localisation réelle d’un appareil infecté ? La régularité de l’analyse toutes les 60 secondes est inhabituelle, pourquoi mettre à jour toutes les minutes ? Avec ce type de données, un acteur malveillant pourrait se faire une idée de la géolocalisation de un appareil, mappant le numérique au physique.
Le logiciel malveillant est également configuré pour s’enregistrer auprès d’un serveur de commande et de contrôle (C2) distant en transmettant un « botID » généré aléatoirement dans une requête HTTP POST, à la suite de quoi le serveur répond avec un message de réussite et un identifiant unique secret qui est ensuite enregistré dans un fichier nommé « %APPDATA%Roamingwlanstr-12.bin. »
La deuxième phase de l’attaque consiste à rechercher les points d’accès Wi-Fi via l’API Windows WLAN toutes les 60 secondes. Les résultats de l’analyse sont transmis à l’API de géolocalisation de Google pour trianguler la localisation du système et finalement transmettre ces informations au serveur C2 sous la forme d’une chaîne JSON.
« Ce type d’activité/capacité est très rarement utilisé par les acteurs criminels », a ajouté Smith. « En tant que capacité autonome, elle n’a pas la capacité de monétiser rapidement. Les inconnues ici sont inquiétantes et la réalité est qu’elle pourrait être utilisée pour soutenir un certain nombre de motivations néfastes. »