Whiffy Reconの名前の中のReconは、reconnaissanceです。
偵察、調査を行います。
どういったものなのでしょうか。
- 始まり
Whiffy Reconは、これそのもので始まりません。
SmokeLoaderによって持ち込まれます。
これまでも、SmokeLoaderがAzovを持ち込むなどの動きが観測されていました。
SmokeLoaderは、海賊版ソフトウェア、キー ジェネレーター、アドウェアに混ぜ込んで配布されているマルウェアです。 - Whiffy Reconの動作:1
Whiffy Reconは2つのループで活動します。
このうちの1つは、感染済みかの確認と未感染の場合のC2への登録です。
感染し、C2への登録が完了すると、所定のPATHにbotId UUIDとシークレットUUIDを保存します。 - Whiffy Reconの動作:2
もう1つのループは、Wi-Fiスキャンです。
60秒毎に、Windows WLAN API経由でWi-Fiアクセスポイントをスキャンします。
Wi-Fi機構を動作させる部品があってこのAPIが利用できた場合、その感染端末の位置から利用可能なアクセスポイントが取得できます。
取得したアクセスポイントをJSONファイルに記録し、さらにGoogle Geolocation APIを使って調査します。
Google Geolocation APIを使うことで、侵害されたシステムの位置を取得することができます。
取得された侵害されたシステムの位置はさらに記録され、C2に送信されます。
Whiffy Reconはスタートアップに置かれるLNKファイルで永続化されますので、このマルウェアが存在する限り、感染端末の場所は継続的にC2に送信されることとなります。
このWhiffy Reconの動きは以上です。
この位置情報の漏洩が直接どのように悪用されるのかについては明らかになっていません。
しかし、このWhiffy Reconを配布するSmokeLoaderは、AzovランサムウェアやSTOPランサムウェアも配布します。
このことから考えると、このWhiffy Reconは、被害者を脅迫したり、要求に従うよう圧力をかけたりするために使われるということかもしれません。
多重恐喝の脅迫機能の増強ということになりそうです。
参考記事(外部リンク):SMOKE LOADER DROPS WHIFFY RECON WI-FI SCANNING AND
GEOLOCATION MALWARE
www.secureworks.com/blog/smoke-loader-drops-whiffy-recon-wi-fi-scanning-and-geolocation-malware
| この記事をシェア |
|
|---|
