SmokeLoader доставляет на компьютеры с Windows новую вредоносную программу Whiffy Recon
Опасный загрузчик вирусов SmokeLoader доставляет на компьютеры, функционирующие под управлением Windows, новую вредоносную программу Whiffy Recon. Ее целью является сканирование Wi-Fi и отслеживание локаций подвергшейся заражению системы.
По данным специалистов Secureworks Counter Threat Unit, в сущности у Whiffy Recon есть только одна задача. Каждые 60 секунд она триангулирует позицию подвергшейся киберугрозе системы при помощи расположенных поблизости точек Wi-Fi. Полученные данные о геолокации затем возвращаются через API Google Geolocation. Фиксируется опасный вирус на устройстве с помощью ярлыка, добавляемого в папку автоматического запуска операционной системы Windows. Whiffy Recon регистрируется на сервере C2, куда передает случайным образом сгенерированный идентификатор «botID» в запросе HTTP POST. Далее командный сервер оповещает троян о прохождении успешной регистрации через специальный файл, где создается секретный уникальный ID. Затем посредством API Windows WLAN вредонос начинает сканировать базовые станции Wi-Fi. Происходит это каждую минуту.
Отметим, задачей SmokeLoader, является наполнение системы различными вредоносными программами. По данным Cyfirma, этот вредонос уже несколько лет продается киберпреступникам из России. Его распространение ведется через фишинговые письма.
Источник: www.anti-malware.ru
По данным специалистов Secureworks Counter Threat Unit, в сущности у Whiffy Recon есть только одна задача. Каждые 60 секунд она триангулирует позицию подвергшейся киберугрозе системы при помощи расположенных поблизости точек Wi-Fi. Полученные данные о геолокации затем возвращаются через API Google Geolocation. Фиксируется опасный вирус на устройстве с помощью ярлыка, добавляемого в папку автоматического запуска операционной системы Windows. Whiffy Recon регистрируется на сервере C2, куда передает случайным образом сгенерированный идентификатор «botID» в запросе HTTP POST. Далее командный сервер оповещает троян о прохождении успешной регистрации через специальный файл, где создается секретный уникальный ID. Затем посредством API Windows WLAN вредонос начинает сканировать базовые станции Wi-Fi. Происходит это каждую минуту.
«Новый штамм вредоносного ПО выполняет только одну операцию. Каждые 60 секунд он триангулирует положение зараженных систем, сканируя близлежащие точки доступа Wi-Fi в качестве точки данных для API геолокации Google. Местоположение, возвращаемое API геолокации Google, затем отправляется обратно злоумышленнику», - пояснили специалисты.
Отметим, задачей SmokeLoader, является наполнение системы различными вредоносными программами. По данным Cyfirma, этот вредонос уже несколько лет продается киберпреступникам из России. Его распространение ведется через фишинговые письма.
Источник: www.anti-malware.ru
