Hackers kunnen nauwkeurig bepalen op welke locatie jij je bevindt met de nieuwe malware Whiffy Recon. De data kan potentieel worden gebruikt als hefboom om slachtoffers gevraagde handelingen te laten uitvoeren.
De nieuwe malware Whiffy Recon zoekt naar de locatie van een computer. Onderzoekers van Secureworks kwamen de malware voor het eerst tegen in de Smoke Loader-botnet.
Malware voor botnets
De malware werd ontwikkeld voor computers die reeds geïnfecteerd zijn. Het geheel van toestellen dat door dezelfde malware-familie geïnfecteerd werd, heet ook een botnet. Als gebruikers is het alleen niet te achterhalen of de toestellen in je bezit familie zijn van zo’n botnet.
Autoriteiten zijn er onlangs in geslaagd het grootste botnet ‘Qakbot’ te vernietigen. Dit maakt ongeveer 700.000 computers niet meer kwetsbaar voor de nieuwe malware Whiffy Recon.
Lees ook: Qakbot: hoe de autoriteiten het grootste botnet ter wereld vernietigden
Via andere botnets kan de malware dus nog wel schade aanrichten en dat blijkt het momenteel al te doen via Smoke Loader. De initiële infectie verloopt bij deze malware via een phishingbericht dat een schadelijk zip-bestand bevat.
Google Geolocation API helpt mee
De malware richt zich momenteel enkel op Windows-toestellen. Het besturingssysteem bezit namelijk Wireless AutoConfig Service (WLANSVC) dat hackers kunnen misbruiken om verbinding te maken met de dichtsbijzijnde routers via wifi. Via WLANSVC wordt gecontroleerd of het toestel over een wifi-verbinding beschikt. Eens dat verzekerd is, zal de malware iedere minuut naar wifi-routers scannen.
Met de verkregen data uit de scan, kunnen de hackers verder aan de slag om de exacte locatie van het geïnfecteerde toestel te achterhalen. Hiervoor uploaden zij de data naar de Google Geolocation API. Deze dienst bepaalt nauwkeurig de locatie door een combinatie van wifi toegangspunten en zendmasten.
Dreigmiddel en ingangen zoeken
Doordat de scan iedere minuut opnieuw uitgevoerd wordt, functioneert de malware als tracker. Een verplaatsing van een geïnfecteerd werktoestel van kantoor naar huis, zal hackers bijvoorbeeld je werkadres en thuisadres opleveren, als het toestel op beide plaatsen verbinding maakt met een wifi-router.
“Het aantonen van toegang tot geolocatie-informatie kan worden gebruikt om slachtoffers te intimideren of hen onder druk te zetten om aan eisen te voldoen”, stellen de onderzoekers. Een dreigingsbericht van een hacker is dan ook veel intimiderender als blijkt dat deze hacker beschikt over het woon- of werkadres.
Dit is een mogelijke piste, maar de onderzoekers geven zelf aan dat ze over onvoldoende informatie beschikken om de reden achter de dataverzameling te geven.
Het is bijvoorbeeld ook mogelijk dat hackers de data gebruiken om malware te verspreiden op gunstige locaties. Als een geïnfecteerd toestel op het werk blijkt te zijn, hebben hackers een grotere kans om binnen te dringen in de bedrijfssystemen, als zij malware op dat moment verspreiden.
Toegang voor de malware beperken
Als bedrijf kan je werknemers beschermen door het IP-adres van de C2-server van Whiffy Recon te blokkeren, net als de URL die hackers gebruiken om de malware te verwijderen. Beide zaken werden bekendgemaakt in het onderzoeksrapport van Secureworks.
De malware blijkt momenteel ontwikkeld te worden om later ook andere botnets te kunnen infecteren. Whiffy Recon geeft hackers een manier om geïnfecteerde toestellen te volgen om gerichtere dreigings- of phishingberichten te versturen of om opportuniteiten te zoeken voor de verspreiding van malware. Hackers krijgen daarmee een interessante malware in handen, die snel kan worden uitgerold naar toestellen waarnaar de hackers al eerder een ingang wisten te vinden.
16 uur geleden
