Охотники за координатами: как вредонос Whiffy Recon помогает хакерам отслеживать свою добычу

Киберпреступники, стоящие за вредоносом Smoke Loader, активно используют в своих атаках новую полезную нагрузку под названием Whiffy Recon для триангуляции местоположения инфицированных устройств посредством API геолокации Google и сканирования Wi-Fi.

API геолокации Google — это сервис, предоставляемый компанией Google, который позволяет разработчикам программного обеспечения определять местоположение устройств с помощью данных о ближайших точках доступа Wi-Fi и сотовых вышек.

С помощью HTTPS-запросов к данному API можно получить приблизительные координаты широты и долготы устройства, даже если оно не использует GPS. Это особенно полезно для разработки приложений, требующих информацию о местоположении пользователей, например, карт и сервисов на основе геолокации.

В случае с Whiffy Recon знание местоположения жертвы может помочь хакерам провести более целенаправленные атаки с точностью до района внутри города. В зависимости от количества точек доступа Wi-Fi в районе, точность триангуляции через API геолокации Google составляет от 20 до 50 метров, хотя этот показатель увеличивается в менее плотно заселённых районах.

Whiffy Recon попадает на устройство жертвы уже после заражения дроппером Smoke Loader, который устанавливает новый шпионский инструмент в виде полезной нагрузки. Работает Whiffy Recon следующим образом: сначала программа проверяет наличие в целевой системе сервиса с именем «WLANSVC». Если такового нет, программа регистрирует бота на командном сервере и полностью пропускает часть со сканированием.

На системах Windows, где такой сервис присутствует, Whiffy Recon запускает цикл сканирования Wi-Fi, который выполняется каждую минуту, злоупотребляя API WLAN Windows для сбора необходимых данных и отправляя в API геолокации Google HTTPS POST-запросы, содержащие информацию о точках доступа Wi-Fi в формате JSON.

Используя координаты из ответа Google, вредоносная программа формирует более полный отчёт о точках доступа, включающий их географическое положение, метод шифрования и SSID, а затем отправляет его на C2-сервер злоумышленников в виде JSON POST-запроса.

Поскольку этот процесс происходит каждые 60 секунд, он может позволить злоумышленникам отслеживать взломанное устройство практически в режиме реального времени.

Исследователи из Secureworks, обнаружившие это новое вредоносное ПО в начале августа, предполагают, что хакеры могут использовать информацию о местоположении, чтобы запугивать своих жертв, внушая им в голову мысль, что за ними следят, заставляя жертв таким образом выполнять указания злоумышленников.

Специалисты предполагают, что Whiffy Recon в будущем будет активно развиваться хакерами, в связи с чем возможен скорый выход новых версий вредоноса с расширенным функционалом.