Pesquisadores da Secureworks encontraram um misterioso malware que procura pontos de acesso Wi-Fi próximos em um esforço para obter a localização do dispositivo infectado.
O malware, apelidado Whiffy Recon, tem como alvo sistemas Windows e foi projetado para realizar varreduras de Wi-Fi a cada 60 segundos. Os dados coletados são alimentados em uma API de geolocalização do Google, que retorna coordenadas geográficas triangulando a localização com base no ponto de acesso Wi-Fi e nos dados da rede móvel.
Whiffy Recon é fornecido pelo amplamente utilizado downloader de malware Smoke Loader, mas não está claro para que é usado. A Secureworks observou que os agentes de ameaças poderiam usar os dados para rastrear sistemas comprometidos, potencialmente usando-os para intimidar as vítimas ou pressioná-las a cumprir suas demandas.
“O que é preocupante sobre a nossa descoberta do Whiffy Recon é que a motivação para a sua operação não é clara. Quem ou o quê está interessado na localização real de um dispositivo infectado? A regularidade da varredura a cada 60 segundos é incomum, por que atualizar a cada minuto? Com esse tipo de dados, um agente de ameaça poderia formar uma imagem da geolocalização de um dispositivo, mapeando o digital para o físico”, disse Don Smith, vice-presidente de inteligência de ameaças da Unidade de Contra Ameaças (CTU) da Secureworks, à Cibersegurança Notícias.
“Este tipo de atividade raramente é utilizado por atores criminosos”, acrescentou Smith. “Como capacidade autônoma, falta a capacidade de monetizar rapidamente. As incógnitas aqui são preocupantes e a realidade é que isso poderia ser usado para apoiar uma série de motivações nefastas.”
Organizações ou indivíduos preocupados com a possibilidade de seus sistemas terem sido infectados pelo Whiffy Recon podem verificar a pasta de inicialização do Windows em busca de um arquivo chamado ‘wlan.lnk’, que é usado para persistência, garantindo que o malware seja iniciado sempre que o dispositivo for inicializado.
Remover o arquivo da pasta Inicialização garante que o malware não será mais executado na inicialização, mas não há como saber quantos dados de localização já foram coletados, acrescentou Smith.
Secureworks publicou detalhes técnicos no malware, bem como indicadores adicionais de comprometimento (IoCs).
: