SmokeLoader Truva Atı, Konum Takip Eden Kötü Amaçlı Yazılım Kullanıyor

Müşteri Kimliği ve Erişim Yönetimi (CIAM), Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar

‘Whiffy Recon’, Coğrafi Konum için WiFi Erişim Noktalarını ve Google API’sini Kullanıyor

Prajeet Nair (@prajeetspeaks) •
27 Ağustos 2023

SmokeLoader olarak bilinen bir arka kapı Truva Atı, virüslü Windows cihazlarının konumunu belirlemek için özelleştirilmiş bir WI-FI tarama yürütülebilir dosyasını dağıtıyor.

Ayrıca bakınız: Hızlı Dijitalleşme ve Risk: Yuvarlak Masa Önizlemesi

“Whiffy Recon” olarak adlandırılan kötü amaçlı yazılım, Google’ın coğrafi konum API’si için veri noktası olarak yakındaki Wi-Fi erişim noktalarını kullanıyor.

Yeni kötü amaçlı yazılımı 8 Ağustos’ta ortaya çıkaran siber güvenlik firması Secureworks’teki araştırmacılar tarafından hazırlanan bir rapora göre, kötü amaçlı yazılım her 60 saniyede bir Wi-Fi taraması yapıyor ve tehdit aktörlerinin ele geçirilen sistemi izlemesine olanak tanıyan coğrafi konum verilerini yakalıyor.

Araştırmacılar, “Tehdit aktörlerinin bu verileri nasıl kullandıkları belli değil. Coğrafi konum bilgilerine erişimin gösterilmesi, mağdurların gözünü korkutmak veya onlara taleplere uymaları yönünde baskı yapmak için kullanılabilir” dedi.

Google’ın coğrafi konum API’si, mobil istemcinin algılayabildiği baz istasyonu ve WiFi erişim noktalarıyla HTTPS isteğini kabul eden ve enlem-boylam koordinatlarını döndüren bir hizmettir.

Kötü amaçlı yazılım, tehlikeye atılan sistemde WLANSVC hizmetini kontrol ederek Windows sisteminde kablosuz özelliğinin varlığını gösterir.

“Kötü amaçlı yazılım yalnızca hizmet adını kontrol eder ve hizmetin çalışır durumda olduğunu doğrulamaz. Hizmet adı mevcut değilse tarayıcıdan çıkar. Whiffy Recon, kullanıcının Başlangıç ​​klasöründe wlan.lnk kısayolunu oluşturarak sistemde kalmaya devam eder. Araştırmacılara göre bu bağlantı, indirilen Whiffy Recon kötü amaçlı yazılımının orijinal konumuna işaret ediyor.

SmokeLoader, 2011’den bu yana kötü amaçlı yazılım yüklemek için kullanılabilen, aynı zamanda bilgi sızması için eklentilere sahip olan büyük bir Truva atı ailesinin adıdır. Mitre, kötü amaçlı yazılımın “aldatma ve kendini koruma kullanımıyla ünlü olduğunu” söyledi.

Temmuz ayında Ukraynalı siber savunucular, UAC-0006 olarak bilinen finansal motivasyona sahip bir tehdit aktörünün, kullanıcıları SmokeLoader’ı yüklemeye teşvik etme çabalarını yoğunlaştırdığını söyledi (bkz: SmokeLoader Kampanyası Yoğunlaşıyor, Ukraynalı CERT Uyardı).

Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi, kötü amaçlı yazılımın Mayıs ve Haziran aylarında yurt içinde ikinci en yüksek tespit sayısına sahip olduğunu söyledi.

Araştırmacılar, kötü amaçlı yazılım kodunun iki farklı döngü halinde çalıştığını, birinin botu komut ve kontrol sunucusuna kaydettiğini, ikincisinin ise WiFi taraması yaptığını söyledi.

İlki, virüs bulaşmış bir sistemde %APPDATA%wlanstr-12.bin adlı bir dosyayı arar. str-12.bin dosya adını bulana kadar %APPDATA%Roaming*.* dizinini yinelemeli olarak tarar.

Araştırmacılar, “Dosyayı belirli bir konumda oluştururken neden tüm dizini aradığı belli değil” dedi.

Dosya mevcutsa ve geçerli parametreler içeriyorsa, kötü amaçlı yazılım, WiFi taraması gerçekleştirmek için ikinci döngüye geçer. Dosya mevcut değilse, etkilenen cihazı bir HTTPS POST isteğinde bir JSON verisi aracılığıyla C2 sunucusuna kaydeder.

HTTP üstbilgileri, sabit kodlanmış evrensel benzersiz tanımlayıcıyı içeren bir yetkilendirme alanı içerir. Üç parametre içerir; sistemi tanımlayan botId için rastgele oluşturulmuş bir UUID, “BİLGİSAYAR” olarak ayarlanmış bir tür ve “1” sürüm numarası.

Araştırmacılar sürüm numarasının daha fazla geliştirme planlarını gösterdiğini söyledi.

Kayıt başarılı olduğunda, C2 sunucusu başarı hakkında bir JSON mesajıyla yanıt verir ve “gizli” alan, sabit kodlu yetkilendirme UUID’si yerine kullanılan bir UUID’yi içerir.

Araştırmacılar, “BotId UUID ve gizli UUID, %APPDATA%Roamingwlan klasörüne bırakılan ve gelecekteki POST istekleri için kullanılan str-12.bin dosyasında saklanır” dedi.

BotId ve gizli anahtarın tanımlanması üzerine Whiffy Recon’un ikinci döngüsü, her 60 saniyede bir çalışan Windows WLAN API aracılığıyla WiFi erişim noktalarını tarar.

Taramalardan elde edilen sonuçlar bir JSON yapısına eşlenir ve bir HTTPS POST isteği aracılığıyla Google’ın coğrafi konum API’sine gönderilir. Araştırmacılar, kötü amaçlı yazılım kodunun, tehdit aktörlerinin API’yi sorgulamak için kullandığı sabit kodlu bir URL’yi de içerdiğini söyledi.

Araştırmacılar, “Bu koordinatlar daha sonra bölgede bulunan her kablosuz erişim noktası hakkında ayrıntılı bilgi içeren daha kapsamlı bir JSON yapısına eşleniyor. Bu veriler, erişim noktaları tarafından kullanılan şifreleme yöntemlerini tanımlıyor” dedi.