ÖNEMLİ BULGULAR
- Whiffy Recon adı verilen yeni bir özel Wi-Fi tarama verisi tespit edildi.
- Whiffy Recon, Smoke Loader botnet’i tarafından güvenliği ihlal edilmiş cihazlara bulaşmak için kullanılıyor.
- Whiffy Recon, yakındaki Wi-Fi erişim noktalarını kullanarak virüslü cihazların konumlarını üçgenliyor.
- Whiffy Recon daha sonra cihazın koordinatlarını almak için Google Geolocation API’sini kullanıyor.
- Whiffy Recon, cihazın kalıcılığını korumak için Başlangıç klasöründe bir wlan.Ink kısayolu oluşturur.
- Bu bilginin elde edilmesinin amacı belirsiz ancak araştırmacılar bunun mağdurları korkutmak veya taleplere uymaları için onlara baskı yapmak için kullanılabildiğinden şüpheleniyor.
Secureworks’teki siber güvenlik araştırmacıları, Whiffy Recon adını verdikleri yeni bir özel Wi-Fi tarama yükünü tespit etti. Kötü amaçlı yürütülebilir dosya, ele geçirilen sistemlerin coğrafi konumunu tespit etmeye çalışır – Whiffy Recon kötü amaçlı yazılımı durumunda, hedeflenen cihazlar Windows tabanlıdır.
Secureworks’ün Karşı Tehdit Birimi, özel bir Wi-Fi tarama yürütülebilir dosyasıyla ele geçirilen cihazlara bulaşan yepyeni bir Smoke Loader botnet’inin ayrıntılarını paylaştı. Bu kötü niyetli aktiviteyi 8 Ağustos 2023’te gözlemlediler.
Bilginiz olsun diye söylüyorum: Dofoil olarak da bilinen Smoke Loader, genellikle ele geçirilen bilgisayarlara çeşitli veriler dağıtmak için kullanılan bir tür botnet kötü amaçlı yazılımıdır. İndirici olarak sınıflandırılır ve genellikle bankacılık Truva atları, fidye yazılımları ve kripto para madencileri gibi diğer kötü amaçlı yazılım türlerinin dağıtımıyla ilişkilendirilir.
Daha önce Nisan 2019’da Smoke Loader botnet’inin kurbanlardan 4,6 milyon dolar çalacak bir bankacılık trojanını yaydığı tespit edilmişti. Temmuz 2018’de açığa çıkan bir başka kampanyada, botnet’in Kronos bankacılık truva atını şüphelenmeyen kurbanlara düşürmek için kullanıldığı görüldü.
Son kampanyaya gelince; Whiffy Recon kötü amaçlı yazılımı, Google coğrafi konum API’sine erişmek için yakındaki herhangi bir Wi-Fi erişim noktasını veri noktası olarak kullanarak, virüslü cihazların konumlarını üçgenliyor. Bilginiz olsun diye söylüyorum, Google Geolocation hizmeti, mobil ağ ve Wi-Fi erişim noktaları verilerini kullanarak bir sistemin konumunu üçgenler ve koordinatları döndürür.
Secureworks’ün blog gönderisine göre veri, ele geçirilen cihazda WLANSVC hizmetini tarayarak çalışmaya başlıyor. Bu, Windows tabanlı aygıtın kablosuz özelliği olduğunu doğrulamak ve mevcut değilse çıkmak için gerçekleştirilir. Whiffy Recon’un, özelliğin çalışıp çalışmadığını değil, yalnızca özelliğin varlığını taradığını unutmamak gerekir.
Başlangıç klasöründe Whiffy Recon kötü amaçlı yazılımının sistemdeki tam konumunu gösteren wlan.Ink kısayolunu oluşturarak cihazın kalıcılığını korur. Kötü amaçlı yazılımın ana kodunda iki döngü vardır; bunlardan biri botu saldırganın C2 sunucusuna kaydeder, diğeri ise Windows WLAN API’sini kullanarak Wi-Fi özelliğini tarar.
İkinci döngü, coğrafi konum verilerini almaya devam etmek için 60 saniyelik aralıklarla tekrar tekrar çalışır. Tarama sonuçları, bir HTTP Post isteği aracılığıyla Google Geolocation API’sine iletilen bir JSON yapısına eşlenir.
Bu bilgiler daha sonra o bölgede bulunan her kablosuz erişim noktası ve bunların kullandığı şifreleme yöntemleri hakkında bilgi içeren başka bir JSON yapısına eşlenir.
Bu bilginin elde edilmesinin ardındaki amacın ne olduğu araştırmacılar için hala belirsizdir. Ancak saldırganların “kurbanların gözünü korkutmak veya taleplere uymaları için onlara baskı yapmak” isteyebileceğinden şüpheleniyorlar. Secureworks araştırmacıları, kuruluşları mevcut kontrolleri kullanmaya ve Wi-Fi erişimini kısıtlamaya çağırıyor.
ALAKALI HABERLER
- Z kuşağının konum verilerini hükümetle paylaşma olasılığı en düşük
- Araştırmacı, ABD’li bir firmanın konum verilerini nasıl topladığını ortaya çıkardı
- Wikileaks, CIA’in Linux Hacking ve Coğrafi Konum Takipçisi Kötü Amaçlı Yazılımını Ortaya Çıkardı