Les cybercriminels derrière le botnet Smoke Loader utilisent un nouveau logiciel malveillant appelé Whiffy Recon pour trianguler l’emplacement des appareils infectés grâce à l’analyse WiFi et à l’API de géolocalisation de Google.
L’API de géolocalisation de Google est un service qui accepte les requêtes HTTPS avec des informations sur les points d’accès WiFi et renvoie les coordonnées de latitude et de longitude pour localiser les appareils ne disposant pas de système GPS.
Smoke Loader est un dropper de malware modulaire qui existe depuis plusieurs années, principalement utilisé dans les premières étapes d’un compromis pour fournir de nouvelles charges utiles.
Dans le cas de Whiffy Recon, connaître l’emplacement de la victime pourrait aider à mener des attaques mieux ciblées sur des régions spécifiques ou même des zones urbaines, ou aider à intimider les victimes en faisant preuve de capacité de suivi.
En fonction du nombre de points d’accès WiFi dans la zone, la précision de la triangulation via l’API de géolocalisation de Google varie entre 20 et 50 mètres (65 à 165 pieds) ou moins, bien que ce chiffre augmente dans les zones moins denses.
Analyse Wi-Fi Whiffy Recon
Le malware recherche d’abord le nom du service « WLANSVC », et s’il n’existe pas, il enregistre le bot sur le serveur de commande et de contrôle (C2) et ignore la partie analyse.
Pour les systèmes Windows sur lesquels ce service est présent, Whiffy Recon entre dans une boucle d’analyse WiFi qui s’exécute toutes les minutes, abusant de l’API Windows WLAN pour collecter les données requises et envoyant des requêtes HTTPS POST contenant des informations sur le point d’accès WiFi au format JSON à l’API de géolocalisation de Google.
En utilisant les coordonnées contenues dans la réponse de Google, le malware formule un rapport plus complet sur les points d’accès, incluant désormais leur position géographique, leur méthode de cryptage, leur SSID, et l’envoie au C2 de l’acteur menaçant sous forme de requête JSON POST.
Étant donné que ce processus se produit toutes les 60 secondes, il pourrait permettre aux attaquants de suivre l’appareil piraté presque en temps réel.
Les chercheurs de Secureworks, qui ont découvert le nouveau malware le 8 août, pensent que les pirates pourraient utiliser les informations de géolocalisation pour intimider les victimes et les forcer à se conformer aux demandes.
La note indique que le numéro de version utilisé par le logiciel malveillant dans la requête POST initiale adressée au C2 est « 1 », ce qui pourrait indiquer le stade de développement du logiciel malveillant et les projets de l’auteur pour ajouter des améliorations ou de nouvelles fonctionnalités.