Smoke Loader botnet’inin arkasındaki siber suçlular, Wi-Fi taraması ve Google’ın coğrafi konum API’si aracılığıyla virüslü cihazların konumunu belirlemek için Whiffy Recon adlı yeni bir kötü amaçlı yazılım kullanıyor.
Google’ın coğrafi konum API’si, WiFi erişim noktası bilgileriyle HTTPS isteklerini kabul eden ve GPS sistemi olmayan cihazların konumunu belirlemek için enlem ve boylam koordinatlarını döndüren bir hizmettir.
Smoke Loader, birkaç yıldır piyasada olan ve öncelikle yeni yükler sağlamak için bir uzlaşmanın ilk aşamalarında kullanılan modüler bir kötü amaçlı yazılım düşürücüdür.
Whiffy Recon vakasında, kurbanın yerini bilmek, belirli bölgelere ve hatta kentsel alanlara daha iyi odaklanan saldırıların gerçekleştirilmesine veya izleme yeteneği göstererek kurbanların gözünün korkutulmasına yardımcı olabilir.
Bölgedeki Wi-Fi erişim noktalarının sayısına bağlı olarak Google’ın coğrafi konum API’si aracılığıyla üçgenleme doğruluğu 20-50 metre (65-165 ft) veya daha az arasında değişir, ancak bu rakam daha az yoğun alanlarda artar.
Whiffy Recon WiFi taraması
Kötü amaçlı yazılım öncelikle ‘WLANSVC’ hizmet adını kontrol ediyor ve eğer bu hizmet yoksa botu komuta kontrol (C2) sunucusuna kaydedip tarama kısmını atlıyor.
Bu hizmetin mevcut olduğu Windows sistemleri için Whiffy Recon, gerekli verileri toplamak için Windows WLAN API’sini kötüye kullanarak ve JSON formatında WiFi erişim noktası bilgilerini içeren HTTPS POST isteklerini Google’ın coğrafi konum API’sine göndererek her dakika çalışan bir WiFi tarama döngüsüne girer.
Kötü amaçlı yazılım, Google’ın yanıtındaki koordinatları kullanarak erişim noktaları hakkında artık coğrafi konumu, şifreleme yöntemi ve SSID’yi içeren daha eksiksiz bir rapor oluşturur ve bunu bir JSON POST isteği olarak tehdit aktörünün C2’sine gönderir.
Bu işlem her 60 saniyede bir gerçekleştiği için saldırganların ihlal edilen cihazı neredeyse gerçek zamanlı olarak izlemesine olanak tanıyabilir.
Yeni kötü amaçlı yazılımı 8 Ağustos’ta keşfeden Secureworks araştırmacıları, bilgisayar korsanlarının kurbanların gözünü korkutmak ve taleplere uymaları için onlara baskı yapmak için coğrafi konum bilgilerini kullanabileceğini tahmin ediyor.
C2’ye yapılan ilk POST isteğinde kötü amaçlı yazılım tarafından kullanılan sürüm numarasının “1” olduğu notu, bu, kötü amaçlı yazılımın geliştirme aşamasını ve yazarın iyileştirmeler veya yeni yetenekler ekleme planlarını gösterebilir.