Whiffy Recon использует Wi-Fi, чтобы определить местонахождение зараженного устройства - «Новости» » Интернет технологии
sitename
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
 Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
 Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
 «Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
«Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
 Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
 Уязвимость нулевого дня в Windows приводит к утечке NTLM-хешей - «Новости»
Уязвимость нулевого дня в Windows приводит к утечке NTLM-хешей - «Новости»
 Shedding Zmiy использует руткит Puma для атак на российские организации - «Новости»
Shedding Zmiy использует руткит Puma для атак на российские организации - «Новости»
 Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости»
Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости»
 Mozilla предупреждает: Firefox для Windows уязвим перед побегом из песочницы - «Новости»
Mozilla предупреждает: Firefox для Windows уязвим перед побегом из песочницы - «Новости»
 ИБ-специалисты взломали инфраструктуру вымогательской группы BlackLock - «Новости»
ИБ-специалисты взломали инфраструктуру вымогательской группы BlackLock - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Whiffy Recon использует Wi-Fi, чтобы определить местонахождение зараженного устройства - «Новости»

✔Whiffy Recon использует Wi-Fi, чтобы определить местонахождение зараженного устройства - «Новости»

26 августа 2023 538 Новости / Отступы и поля / Заработок / Добавления стилей / Преимущества стилей / Самоучитель CSS / Видео уроки / Изображения 0

Исследователи Secureworks обнаружили, что хакеры, стоящие за ботнетом Smoke Loader, используют новую малварь Whiffy Recon для триангуляции местоположения зараженных устройств с помощью Wi-Fi и геолокационного API Google.


API геолокации Google — это сервис, который принимает HTTPS-запросы с информацией о точках доступа Wi-Fi и возвращает информацию о широте и долготе для поиска устройств, не имеющих собственной системы GPS. В зависимости от количества доступных точек Wi-Fi, точность триангуляции с помощью API Google колеблется от 20 до 50 метров, хотя эта цифра может увеличиваться в менее плотно засаленных районах.


Напомню, что Smoke Loader существует уже несколько лет и представляет собой модульный дроппер, в основном использующийся на ранних стадиях взлома для доставки новых полезных нагрузок.


Как считают эксперты, Whiffy Recon, определяющий местоположение жертвы, может помочь злоумышленникам сфокусировать свои атаки на определенных регионах или даже городских районах. Также предполагается, что собранная информация может помочь запугать жертв, если хакеры продемонстрируют способность к отслеживанию их местоположения.


Сначала малварь проверяет имя службы WLANSVC, и если такой не существует, вредонос регистрируется на управляющем сервере и пропускает этап сканирования.



Whiffy Recon использует Wi-Fi, чтобы определить местонахождение зараженного устройства - «Новости»


Но в Windows-системах, где эта служба присутствует, Whiffy Recon запускает цикл сканирования, который выполняется каждую минуту, используя Windows WLAN API для сбора необходимых данных, и отправляет HTTPS POST-запросы с информацией о точках доступа Wi-Fi в формате JSON геолокационному API Google.


Используя координаты из ответов Google, малварь формирует полный отчет о точках доступа, включающий их географическое положение, метод шифрования, SSID, и передает его на свой управляющий сервер виде JSON POST-запроса.





Поскольку сканирования осуществляются каждые 60 секунд, злоумышленники могут отслеживать взломанное устройство практически в режиме реального времени.


«В связи с обнаружением Whiffy Recon, нас беспокоит неясная мотивация [злоумышленников], стоящая за его работой. Кого и почему интересует отслеживание местоположения зараженного устройства в реальном времени? Частота сканирования каждые 60 секунд так же необычна, зачем обновлять данные каждую минуту? С помощью таких данных злоумышленник может составить представление о геолокации устройства, сопоставив цифровые данные с физическими, — рассуждают в Secureworks. — Подобные методы очень редко используются преступниками. Сама по себе эта функциональность не имеет возможности для быстрой монетизации. Неизвестность вызывает беспокойство».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Исследователи Secureworks обнаружили, что хакеры, стоящие за ботнетом Smoke Loader, используют новую малварь Whiffy Recon для триангуляции местоположения зараженных устройств с помощью Wi-Fi и геолокационного API Google. API геолокации Google — это сервис, который принимает HTTPS-запросы с информацией о точках доступа Wi-Fi и возвращает информацию о широте и долготе для поиска устройств, не имеющих собственной системы GPS. В зависимости от количества доступных точек Wi-Fi, точность триангуляции с помощью API Google колеблется от 20 до 50 метров, хотя эта цифра может увеличиваться в менее плотно засаленных районах. Напомню, что Smoke Loader существует уже несколько лет и представляет собой модульный дроппер, в основном использующийся на ранних стадиях взлома для доставки новых полезных нагрузок. Как считают эксперты, Whiffy Recon, определяющий местоположение жертвы, может помочь злоумышленникам сфокусировать свои атаки на определенных регионах или даже городских районах. Также предполагается, что собранная информация может помочь запугать жертв, если хакеры продемонстрируют способность к отслеживанию их местоположения. Сначала малварь проверяет имя службы WLANSVC, и если такой не существует, вредонос регистрируется на управляющем сервере и пропускает этап сканирования. Но в Windows-системах, где эта служба присутствует, Whiffy Recon запускает цикл сканирования, который выполняется каждую минуту, используя Windows WLAN API для сбора необходимых данных, и отправляет HTTPS POST-запросы с информацией о точках доступа Wi-Fi в формате JSON геолокационному API Google. Используя координаты из ответов Google, малварь формирует полный отчет о точках доступа, включающий их географическое положение, метод шифрования, SSID, и передает его на свой управляющий сервер виде JSON POST-запроса. Поскольку сканирования осуществляются каждые 60 секунд, злоумышленники могут отслеживать взломанное устройство практически в режиме реального времени. «В связи с обнаружением Whiffy Recon, нас беспокоит неясная мотивация _
CSS
запостил(а)
Wright
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: