Опасный загрузчик вирусов SmokeLoader доставляет на компьютеры, функционирующие под управлением Windows, новую вредоносную программу Whiffy Recon. Ее целью является сканирование Wi-Fi и отслеживание локаций подвергшейся заражению системы.
Источник изображения: Pixabay.com
По данным специалистов Secureworks Counter Threat Unit, в сущности у Whiffy Recon есть только одна задача. Каждые 60 секунд она триангулирует позицию подвергшейся киберугрозе системы при помощи расположенных поблизости точек Wi-Fi. Полученные данные о геолокации затем возвращаются через API Google Geolocation. Фиксируется опасный вирус на устройстве с помощью ярлыка, добавляемого в папку автоматического запуска операционной системы Windows. Whiffy Recon регистрируется на сервере C2, куда передает случайным образом сгенерированный идентификатор «botID» в запросе HTTP POST. Далее командный сервер оповещает троян о прохождении успешной регистрации через специальный файл, где создается секретный уникальный ID. Затем посредством API Windows WLAN вредонос начинает сканировать базовые станции Wi-Fi. Происходит это каждую минуту.
«Новый штамм вредоносного ПО выполняет только одну операцию. Каждые 60 секунд он триангулирует положение зараженных систем, сканируя близлежащие точки доступа Wi-Fi в качестве точки данных для API геолокации Google. Местоположение, возвращаемое API геолокации Google, затем отправляется обратно злоумышленнику», - пояснили специалисты.
Отметим, задачей SmokeLoader, является наполнение системы различными вредоносными программами. По данным Cyfirma, этот вредонос уже несколько лет продается киберпреступникам из России. Его распространение ведется через фишинговые письма.
Источник: www.anti-malware.ru