Троян SmokeLoader внедряет вредоносное ПО для отслеживания местоположения

Смотрите также: Живой вебинар | Разоблачение Пегаса: осознайте угрозу и укрепите свою цифровую защиту

Вредоносная программа, получившая название «Whiffy Recon», использует близлежащие точки доступа Wi-Fi в качестве точки данных для API геолокации Google.

Вредоносная программа сканирует Wi-Fi каждые 60 секунд и собирает данные геолокации, которые могут позволить злоумышленникам отслеживать скомпрометированную систему. отчет исследователями из компании Secureworks, занимающейся кибербезопасностью, которые обнаружили новое вредоносное ПО 8 августа.

«Неясно, как злоумышленники используют эти данные. Демонстрация доступа к информации о геолокации может быть использована для запугивания жертв или давления на них, чтобы они выполнили требования», — говорят исследователи.

API геолокации Google — это служба, которая принимает HTTPS-запрос от вышки сотовой связи и точек доступа Wi-Fi, которые может обнаружить мобильный клиент, и возвращает координаты широты и долготы.

Вредоносная программа проверяет наличие службы WLANSVC в скомпрометированной системе, что указывает на наличие возможности беспроводной связи в системе Windows.

«Вредоносная программа проверяет только имя службы и не подтверждает работоспособность службы. Если имя службы не существует, сканер завершает работу. Whiffy Recon сохраняется в системе, создавая ярлык wlan.lnk в папке автозагрузки пользователя. Эта ссылка указывает на исходное местоположение загруженной вредоносной программы Whiffy Recon», — утверждают исследователи.

SmokeLoader — это название большого семейства троянов, появившихся с 2011 года. Они могут использоваться для загрузки вредоносных программ, но также имеют плагины для кражи информации. Митра называется вредоносное ПО «печально известно своим использованием обмана и самозащиты».

В июле украинские киберзащитники заявили, что финансово мотивированный злоумышленник, известный как UAC-0006, активизирует усилия, чтобы побудить пользователей установить SmokeLoader (см.: Кампания SmokeLoader усиливается, предупреждает украинский CERT).

Государственная служба специальной связи и защиты информации Украины сказал В мае и июне это вредоносное ПО заняло второе место по количеству обнаружений внутри страны.

Исследователи заявили, что код вредоносного ПО работает как два разных цикла: один регистрирует бота на сервере управления, а второй выполняет сканирование Wi-Fi.

Первый ищет файл с именем %APPDATA%wlanstr-12.bin в зараженной системе. Он рекурсивно сканирует каталог %APPDATA%Roaming*.*, пока не обнаружит имя файла str-12.bin.

«Непонятно, почему он выполняет поиск по всему каталогу, когда создает файл в определенном месте», — говорят исследователи.

Если файл существует и содержит допустимые параметры, вредоносная программа переходит ко второму циклу сканирования Wi-Fi. Если файл не существует, он регистрирует зараженное устройство на сервере C2 через полезную нагрузку JSON в запросе HTTPS POST.

Заголовки HTTP включают поле авторизации, содержащее жестко запрограммированный универсальный уникальный идентификатор. Он содержит три параметра: случайно сгенерированный UUID для botId, который идентифицирует систему, тип, установленный как «КОМПЬЮТЕР», и номер версии «1».

Исследователи заявили, что номер версии указывает на планы дальнейшего развития.

После успешной регистрации сервер C2 отвечает сообщением JSON об успехе, а «секретное» поле содержит UUID, используемый вместо жестко запрограммированного UUID авторизации.

«UUID botId и секретный UUID хранятся в файле str-12.bin, который помещается в папку %APPDATA%Roamingwlan и используется для будущих запросов POST», — говорят исследователи.

После идентификации botId и секретного ключа второй цикл Whiffy Recon сканирует точки доступа Wi-Fi через Windows API беспроводной локальной сетикоторый запускается каждые 60 секунд.

Результаты сканирования сопоставляются со структурой JSON и отправляются в API геолокации Google через запрос HTTPS POST. По словам исследователей, код вредоносного ПО также включает жестко запрограммированный URL-адрес, который злоумышленники используют для запроса API.

«Эти координаты затем сопоставляются с более полной структурой JSON, которая содержит подробную информацию о каждой точке беспроводного доступа, обнаруженной в этом районе. Эти данные идентифицируют методы шифрования, используемые точками доступа», — говорят исследователи.