Clicky

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Malware triangula cada minuto a través de Wi-Fi la ubicación del dispositivo infectado

Categoría: Seguridad
Read Time: 2 mins
Visitas: 602
malware Whiffy Recon

Whiffy Recon funciona comprobando el servicio WLAN AutoConfig (WLANSVC)

El malware SmokeLoader se está utilizando para ofrecer una nueva cepa de malware de escaneo de Wi-Fi llamada Whiffy Recon en máquinas Windows comprometidas.

"La nueva variedad de malware tiene una sola operación. Cada 60 segundos triangula las posiciones de los sistemas infectados escaneando los puntos de acceso Wi-Fi cercanos como punto de datos para la API de geolocalización de Google", dijo en un comunicado Secureworks Counter Threat Unit (CTU). "La ubicación devuelta por la API de geolocalización de Google se envía de vuelta al atacante".

SmokeLoader, como su nombre lo indica, es un malware de carga cuyo único propósito es colocar cargas útiles adicionales en un host. Desde 2014, el malware se ofrece a la venta a actores de amenazas con sede en Rusia. Tradicionalmente se distribuye a través de correos electrónicos de phishing.

Whiffy Recon funciona comprobando el servicio WLAN AutoConfig (WLANSVC) en el sistema infectado y finalizándose si el nombre del servicio no existe. Vale la pena señalar que el escáner no valida si está operativo.

La persistencia se logra mediante un acceso directo que se agrega a la carpeta de Inicio de Windows.

"Lo preocupante de nuestro descubrimiento de Whiffy Recon es que no está clara la motivación para su operación", dijo Don Smith, vicepresidente de inteligencia de amenazas en Secureworks CTU.

"¿Quién o qué está interesado en la ubicación real de un dispositivo infectado? La regularidad del escaneo cada 60 segundos es inusual, ¿Por qué actualizar cada minuto? Con este tipo de datos, un actor de amenazas podría formarse una imagen de la geolocalización de un dispositivo, mapeando lo digital con lo físico".

El malware también está configurado para registrarse en un servidor remoto de comando y control (C2) pasando un "botID" generado aleatoriamente en una solicitud HTTP POST, después de lo cual el servidor responde con un mensaje de éxito y un identificador único secreto que posteriormente se guarda en un archivo llamado "%APPDATA%\Roaming\wlan\str-12.bin".

La segunda fase del ataque implica buscar puntos de acceso Wi-Fi a través de la API WLAN de Windows cada 60 segundos. Los resultados del escaneo se envían a la API de geolocalización de Google para triangular la ubicación del sistema y, en última instancia, transmitir esa información al servidor C2 en forma de cadena JSON.

"Este tipo de actividad/capacidad rara vez es utilizada por actores criminales", añadió Smith. "Como capacidad independiente, carece de la capacidad de monetizar rápidamente. Las incógnitas aquí son preocupantes y la realidad es que podría usarse para respaldar cualquier cantidad de motivaciones nefastas".

#Dispositivo
#Malware
#Ubicación
#Wi-Fi

Jesus_Caceres

Related Articles

SEO para dispositivos móviles

Categoría: Internet (Tutoriales y trucos)
Read Time: 4 mins
Visitas: 4480

6 emuladores gratuitos de dispositivos móviles para probar tu sitio

Categoría: Internet (Tutoriales y trucos)
Read Time: 2 mins
Visitas: 21317

Genera automáticamente iconos app para Android y iOS

Categoría: Internet (Tutoriales y trucos)
Read Time: 1 min
Visitas: 16512

Main Menu