Whiffy Recon использует Wi-Fi, чтобы определить местонахождение зараженного устройства - «Новости» » Интернет технологии
sitename
Комментарии в профилях Steam используются для управления малварью - «Новости»
Комментарии в профилях Steam используются для управления малварью - «Новости»
 В VS Code нашли 0-day-уязвимость, позволявшую похищать токены GitHub - «Новости»
В VS Code нашли 0-day-уязвимость, позволявшую похищать токены GitHub - «Новости»
 F6: группировка SiribClone атакует российских военных через Telegram и шпионское ПО - «Новости»
F6: группировка SiribClone атакует российских военных через Telegram и шпионское ПО - «Новости»
 В Microsoft заявили, что не будут преследовать исследователей за публикацию 0-day-эксплоитов - «Новости»
В Microsoft заявили, что не будут преследовать исследователей за публикацию 0-day-эксплоитов - «Новости»
 Второй ежеквартальный номер «Хакера» уже едет к читателям - «Новости»
Второй ежеквартальный номер «Хакера» уже едет к читателям - «Новости»
 «Достойный наследник Dark Messiah of Might and Magic»: ролевой экшен Fatekeeper порадовал пользователей Steam, но не всех - «Новости сети»
«Достойный наследник Dark Messiah of Might and Magic»: ролевой экшен Fatekeeper порадовал пользователей Steam, но не всех - «Новости сети»
 Второе сюжетное дополнение к Vampire: The Masquerade — Bloodlines 2 завершит поддержку игры — трейлер и дата выхода The Flower & The Flame - «Новости сети»
Второе сюжетное дополнение к Vampire: The Masquerade — Bloodlines 2 завершит поддержку игры — трейлер и дата выхода The Flower & The Flame - «Новости сети»
 Wildberries разрабатывает отечественный мессенджер — его уже используют сотрудники - «Новости сети»
Wildberries разрабатывает отечественный мессенджер — его уже используют сотрудники - «Новости сети»
 Google выпустила мультимодальную ИИ-модель Gemma 4 12B, которая запустится прямо на ноутбуке - «Новости сети»
Google выпустила мультимодальную ИИ-модель Gemma 4 12B, которая запустится прямо на ноутбуке - «Новости сети»
 Мессенджер MAX удалили из Apple App Store — VK подтвердила, что попробует вернуть его на iPhone - «Новости сети»
Мессенджер MAX удалили из Apple App Store — VK подтвердила, что попробует вернуть его на iPhone - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Whiffy Recon использует Wi-Fi, чтобы определить местонахождение зараженного устройства - «Новости»

✔Whiffy Recon использует Wi-Fi, чтобы определить местонахождение зараженного устройства - «Новости»

26 августа 2023 653 Новости / Отступы и поля / Заработок / Добавления стилей / Преимущества стилей / Самоучитель CSS / Видео уроки / Изображения 0

Исследователи Secureworks обнаружили, что хакеры, стоящие за ботнетом Smoke Loader, используют новую малварь Whiffy Recon для триангуляции местоположения зараженных устройств с помощью Wi-Fi и геолокационного API Google.


API геолокации Google — это сервис, который принимает HTTPS-запросы с информацией о точках доступа Wi-Fi и возвращает информацию о широте и долготе для поиска устройств, не имеющих собственной системы GPS. В зависимости от количества доступных точек Wi-Fi, точность триангуляции с помощью API Google колеблется от 20 до 50 метров, хотя эта цифра может увеличиваться в менее плотно засаленных районах.


Напомню, что Smoke Loader существует уже несколько лет и представляет собой модульный дроппер, в основном использующийся на ранних стадиях взлома для доставки новых полезных нагрузок.


Как считают эксперты, Whiffy Recon, определяющий местоположение жертвы, может помочь злоумышленникам сфокусировать свои атаки на определенных регионах или даже городских районах. Также предполагается, что собранная информация может помочь запугать жертв, если хакеры продемонстрируют способность к отслеживанию их местоположения.


Сначала малварь проверяет имя службы WLANSVC, и если такой не существует, вредонос регистрируется на управляющем сервере и пропускает этап сканирования.



Whiffy Recon использует Wi-Fi, чтобы определить местонахождение зараженного устройства - «Новости»


Но в Windows-системах, где эта служба присутствует, Whiffy Recon запускает цикл сканирования, который выполняется каждую минуту, используя Windows WLAN API для сбора необходимых данных, и отправляет HTTPS POST-запросы с информацией о точках доступа Wi-Fi в формате JSON геолокационному API Google.


Используя координаты из ответов Google, малварь формирует полный отчет о точках доступа, включающий их географическое положение, метод шифрования, SSID, и передает его на свой управляющий сервер виде JSON POST-запроса.





Поскольку сканирования осуществляются каждые 60 секунд, злоумышленники могут отслеживать взломанное устройство практически в режиме реального времени.


«В связи с обнаружением Whiffy Recon, нас беспокоит неясная мотивация [злоумышленников], стоящая за его работой. Кого и почему интересует отслеживание местоположения зараженного устройства в реальном времени? Частота сканирования каждые 60 секунд так же необычна, зачем обновлять данные каждую минуту? С помощью таких данных злоумышленник может составить представление о геолокации устройства, сопоставив цифровые данные с физическими, — рассуждают в Secureworks. — Подобные методы очень редко используются преступниками. Сама по себе эта функциональность не имеет возможности для быстрой монетизации. Неизвестность вызывает беспокойство».


Исследователи Secureworks обнаружили, что хакеры, стоящие за ботнетом Smoke Loader, используют новую малварь Whiffy Recon для триангуляции местоположения зараженных устройств с помощью Wi-Fi и геолокационного API Google. API геолокации Google — это сервис, который принимает HTTPS-запросы с информацией о точках доступа Wi-Fi и возвращает информацию о широте и долготе для поиска устройств, не имеющих собственной системы GPS. В зависимости от количества доступных точек Wi-Fi, точность триангуляции с помощью API Google колеблется от 20 до 50 метров, хотя эта цифра может увеличиваться в менее плотно засаленных районах. Напомню, что Smoke Loader существует уже несколько лет и представляет собой модульный дроппер, в основном использующийся на ранних стадиях взлома для доставки новых полезных нагрузок. Как считают эксперты, Whiffy Recon, определяющий местоположение жертвы, может помочь злоумышленникам сфокусировать свои атаки на определенных регионах или даже городских районах. Также предполагается, что собранная информация может помочь запугать жертв, если хакеры продемонстрируют способность к отслеживанию их местоположения. Сначала малварь проверяет имя службы WLANSVC, и если такой не существует, вредонос регистрируется на управляющем сервере и пропускает этап сканирования. Но в Windows-системах, где эта служба присутствует, Whiffy Recon запускает цикл сканирования, который выполняется каждую минуту, используя Windows WLAN API для сбора необходимых данных, и отправляет HTTPS POST-запросы с информацией о точках доступа Wi-Fi в формате JSON геолокационному API Google. Используя координаты из ответов Google, малварь формирует полный отчет о точках доступа, включающий их географическое положение, метод шифрования, SSID, и передает его на свой управляющий сервер виде JSON POST-запроса. Поскольку сканирования осуществляются каждые 60 секунд, злоумышленники могут отслеживать взломанное устройство практически в режиме реального времени. «В связи с обнаружением Whiffy Recon, нас беспокоит неясная мотивация _
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS
запостил(а)
Wright
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: