چشمنوازی دسترنج هنرمندان
محققان امنیت سایبری در Secureworks یک محموله اسکن سفارشی جدید وایفای را شناسایی کردهاند که آن را Whiffy Recon نامیدهاند. آنها این فعالیت مخرب را در ۸ آگوست ۲۰۲۳ مشاهده کردند.
Whiffy Reconیک میانبر wlan.Ink در پوشه Startup ایجاد می کند تا پایداری دستگاه را حفظ کند. هدف از به دست آوردن این اطلاعات نامشخص است، اما محققان گمان می کنند که می تواند برای ارعاب قربانیان یا تحت فشار قرار دادن آنها برای انجام خواسته ها استفاده شود.
Smoke Loader همچنین به عنوان Dofoil شناخته می شود، نوعی بدافزار بات نت است که اغلب برای تحویل بارهای مختلف به رایانه های در معرض خطر استفاده می شود. این برنامه به عنوان دانلود کننده دسته بندی می شود و معمولاً با توزیع انواع دیگر بدافزارها مانند تروجان های بانکی، باج افزارها و استخراج کنندگان ارزهای دیجیتال مرتبط است.
طبق پست وبلاگ Secureworks، محموله با اسکن سرویس WLANSVC در دستگاه آسیبدیده، عملیات خود را آغاز میکند. این برای تأیید اینکه دستگاه مبتنی بر ویندوز دارای قابلیت بیسیم است و در صورت عدم وجود آن خارج میشود، انجام میشود. لازم به ذکر است که Whiffy Recon فقط وجود ویژگی را اسکن می کند نه اینکه آیا کار می کند یا خیر.
با ایجاد میانبر wlan.Ink در پوشه Startup که به مکان دقیق بدافزار Whiffy Recon در سیستم اشاره می کند، ماندگاری دستگاه را حفظ می کند. کد اصلی بدافزار دارای دو حلقه است- یکی از این حلقهها ربات را در سرور C2 مهاجم ثبت میکند و دیگری قابلیت Wi-Fi را با استفاده از Windows WLAN API اسکن میکند.
حلقه دوم به طور مکرر با فواصل ۶۰ ثانیه ای اجرا می شود تا داده های موقعیت جغرافیایی را به دست آورید. نتایج اسکن به یک ساختار JSON نگاشت میشوند که از طریق یک درخواست HTTP Post به API جغرافیایی Google منتقل میشود.
سپس این اطلاعات به ساختار JSON دیگری نگاشت میشود که حاوی اطلاعاتی در مورد هر نقطه دسترسی بیسیم موجود در آن ناحیه و روشهای رمزگذاری مورد استفاده آنها است.
دیدگاهتان را بنویسید