มัลแวร์ SmokeLoader กําลังถูกใช้เพื่อส่งมัลแวร์แบบใหม่เป็นมัลแวร์สแกน Wi-Fi ที่เรียกว่า Whiffy Recon บนเครื่อง Windows ที่ถูกโจมตี
Secureworks Counter Threat Unit (CTU) ระบุในแถลงการณ์ที่แชร์กับ The Hacker News ว่ามัลแวร์ตัวใหม่นี้จะมีการดําเนินการเพียงครั้งเดียวเท่านั้น โดยในทุก ๆ 60 วินาที มันจะวิเคราะห์ตำแหน่งของระบบที่ติดมัลแวร์โดยสแกนจุดเชื่อมต่อ Wi-Fi ในบริเวณใกล้เคียงเป็น data point โดยที่ใช้ geolocation API ของ Google เพื่อระบุตําแหน่งของระบบที่ติดมัลแวร์ จากนั้นตําแหน่งที่ส่งกลับโดย Google Geolocation API จะถูกส่งกลับไปยังผู้โจมตี
SmokeLoader เป็นมัลแวร์ที่มีจุดประสงค์เพียงอย่างเดียวคือการ drop เพย์โหลดเพิ่มเติมไปยังโฮสต์ที่ถูกโจมตี โดยตั้งแต่ปี 2014 เป็นต้นมา มัลแวร์ดังกล่าวได้ถูกเสนอขายให้กับกลุ่มผู้โจมตีในรัสเซีย โดยทั่วไปจะมีการเผยแพร่ผ่านรูปแบบอีเมลฟิชชิ่ง
Whiffy Recon ทํางานโดยการตรวจสอบ service WLAN AutoConfig (WLANSVC) บนระบบที่ติดมัลแวร์ และจะหยุดการทำงานทันทีถ้าไม่พบว่ามี service ดังกล่าวอยู่ ซึ่งเป็นที่น่าสังเกตว่ามัลแวร์จะไม่สนใจว่ายังทํางานต่อได้หรือไม่
โดยวิธีที่ทำให้มัลแวร์ยังคงทำงานอยู่สามารถทำได้โดยการใช้ shortcut เพิ่มลงในโฟลเดอร์ Windows Startup
Don Smith, VP ที่ Secureworks CTU ระบุว่า สิ่งที่เกี่ยวข้องกับการค้นพบ Whiffy Recon ยังเป็นเรื่องที่น่ากังวล เนื่องจากยังไม่ทราบถึงแรงจูงใจในการกระทําของผู้โจมตีที่ชัดเจน
มัลแวร์นี้ถูก config ลงทะเบียนไว้กับ เซิร์ฟเวอร์ Remote Command and Control (C2) โดยการส่งผ่าน "botID" ที่สร้างขึ้นบน port HTTP จากนั้นเซิร์ฟเวอร์จะตอบกลับด้วยข้อความ success และรหัสลับเฉพาะที่ตามมาในภายหลัง ซึ่งบันทึกอยู่ในไฟล์ชื่อ "%APPDATA%\Roaming\wlan\str-12.bin"
ขั้นตอนที่สองของการโจมตี คือ การสแกนจุดเชื่อมต่อ Wi-Fi ผ่าน Windows WLAN API ในทุก ๆ 60 วินาที ผลลัพธ์ของการสแกนจะถูกส่งต่อไปยัง Google Geolocation API เพื่อระบุตำแหน่งของระบบเป็นสามตำแหน่ง และส่งข้อมูลนั้นไปยังเซิร์ฟเวอร์ C2 ในรูปแบบของสตริง JSON ในท้ายที่สุด
โดยพฤติกรรมการโจมตีในรูปแบบนี้ยังไม่ค่อยถูกใช้ในกลุ่มผู้โจมตี เพราะยังขาดความสามารถในการสร้างรายได้ แต่เป็นเรื่องที่น่าเป็นห่วงที่อาจถูกนำมาใช้ในการโจมตีอื่นได้ในอนาคต
ที่มา : thehackernews
You must be logged in to post a comment.