Những kẻ đứng sau botnet Smoke Loader đang sử dụng một mã độc mới có tên Whiffy Recon để xác định vị trí của các thiết bị lây nhiễm thông qua chức năng quét WiFi và API định vị địa lý của Google.
Smoke Loader là một công cụ thả mã độc (dropper) đã xuất hiện được vài năm, chủ yếu được sử dụng trong giai đoạn đầu của quá trình xâm nhập nhằm cung cấp các payload mới.
Còn về phía Whiffy Recon, việc biết vị trí của nạn nhân có thể giúp thực hiện các cuộc tấn công tập trung tốt hơn vào các khu vực cụ thể hoặc đe dọa nạn nhân về việc theo dõi. Trước tiên, mã độc sẽ kiểm tra tên dịch vụ ‘WLANSVC’ và nếu nó không tồn tại, mã độc sẽ đăng ký bot với máy chủ C2 và bỏ qua phần quét.
Đối với các hệ thống Windows có dịch vụ đó, Whiffy Recon sẽ thực hiện một vòng quét WiFi chạy mỗi phút, lợi dụng API WLAN của Windows để thu thập dữ liệu cần thiết và gửi các yêu cầu HTTPS POST chứa thông tin điểm truy cập WiFi ở định dạng JSON tới API định vị địa lý của Google.
Bằng cách sử dụng tọa độ trong phản hồi của Google, mã độc tạo ra một báo cáo đầy đủ hơn về các điểm truy cập, bao gồm vị trí địa lý, phương thức mã hóa, SSID và gửi báo cáo đó đến C2 của kẻ đe dọa dưới dạng yêu cầu JSON POST. Vì quá trình này diễn ra sau mỗi 60 giây nên có thể cho phép hacker theo dõi thiết bị gần như theo thời gian thực.
Các nhà nghiên cứu tại Secureworks đã phát hiện ra mã độc hôm 8/8 và cho rằng hacker có thể sử dụng thông tin định vị địa lý để đe dọa nạn nhân, ép họ phải tuân thủ các yêu cầu.
Nguồn: Bleeping Computer