El nuevo malware "Whiffy Recon" triangula la ubicación del dispositivo infectado a través de Wi-Fi cada minuto

AS-051-2023

Fecha: 01/Sept/2023

Resumen:

La nueva cepa de malware tiene una sola operación. Cada 60 segundos triangula las posiciones de los sistemas infectados escaneando puntos de acceso Wi-Fi cercanos como un punto de datos para la API de geolocalización de Google, dijo Secureworks Counter Threat Unit (CTU) en un comunicado compartido con The Hacker News. La ubicación devuelta por la API de geolocalización de Google se envía de vuelta al adversario. SmokeLoader, como su nombre lo indica, es un malware cargador cuyo único propósito es colocar cargas útiles adicionales en un host, el cual se transmite al servidor C2 en forma de cadena JSON. Desde 2014, el malware se ha ofrecido a la venta a actores de amenazas con sede en Rusia. Tradicionalmente se distribuye a través de correos electrónicos de Phishing.

El malware SmokeLoader se está utilizando para entregar una nueva cepa de malware de escaneo de Wi-Fi denominada Whiffy Recon en máquinas Windows comprometidas.
La persistencia se logra mediante un acceso directo que se agrega a la carpeta de Inicio de Windows.

Recomendación.

Nunca descargues archivos desde fuentes sospechosas o desconocidas.
Analiza los dispositivos que utilizas con un antivirus.

Referencia:

https://thehackernews.com/2023/08/new-whiffy-recon-malware-triangulates.html