Stalker-Malware: Whiffy Recon schnüffelt Standort alle 60 Sekunden aus
Eine Malware namens Whiffy Recon überprüft alle 60 Sekunden den Standort des infizierten Geräts. Es bleibt unklar, wozu.
(Bild: VideoFlow/Shutterstock.com)
IT-Sicherheitsforscher haben die Malware Whiffy Recon entdeckt und analysiert. Es handelt sich um einen Windows-Schädling, der einen Command-and-Control-Server kontaktiert und alle 60 Sekunden den eigenen Standort überprüft. Wozu er das macht, ist derzeit noch unklar.
Die Mitarbeiter von Secureworks haben die Schadsoftware aufgespürt, die vom Smoke Loader-Botnet auf infizierte Systeme verteilt wurde. Whiffy Recon trianguliert die Position des infizierten Systems auf Basis der umgebenden WLAN-Accesspoints, die es dazu an Googles Geolocation-API schickt.
Whiffy Recon: Arbeitsweise durchleuchtet
Prinzipiell scheint Whiffy Recon keine sonderlich komplexe Malware zu sein. Sie prüft der Secureworks-Analyse zufolge, ob der WLANSVC-Dienst auf dem Rechner vorhanden ist, nicht jedoch, ob er läuft. Gibt es den Dienst nicht, beendet sich die Schadsoftware. Persistenz erreicht sie durch Anlegen einer Verknüpfung von wlan.lnk im Autostart-Ordner von Nutzern auf die Malware-Datei.
Der Schädling startet zwei Code-Schleifen. Die eine registriert ihn beim Command-and-Control-Server (C2), die andere übernimmt den WLAN-Scan. Die C2-Prüfung sucht nach der Datei %APPDATA%\wlan\str-12.bin, die zwei individuelle Werte als Bot-ID-UUID und Secret-UUID enthält. Ist sie nicht vorhanden, versucht sie, die Daten vom C2 zu erhalten. Gibt es die Datei, sucht Whiffy Recon mit der Windows WLAN-API nach WLAN-Accesspoints in der Nähe. Diese verpackt der Code in eine JSON-Anfrage an die Google Geolocation-API.
Diese Daten schickt der Code dann zusammen mit detaillierten Informationen zu umgebenden Accesspoints und deren Verschlüsselungsmethode an den C2-Server. Da diese Daten einmal in der Minute erhoben werden, können die Drahtzieher das infizierte Gerät verfolgen. Die IT-Forscher schreiben, dass nicht klar sei, wie die Cyberkriminellen diese Daten nutzen. Sie ergänzen jedoch: "Mit der Demonstration, dass sie Zugriff auf den Standort haben, könnten sie Opfer einschüchtern oder Druck auf sie aufbauen, damit sie auf Forderungen eingehen".
Die IT-Sicherheitsforscher nennen noch einige Indizien für eine Infektion (Indicators of Compromise, IOCs). Sie weisen darauf hin, dass IP-Adressen und URLs sich rasch ändern können.
Zuletzt hatte Microsoft Mitte Juli Malware in 133 Windows-Treibern gefunden, die eine gültige digitale Signatur besaßen. Das Unternehmen hat sie daraufhin blockiert und zugehörige Entwicklerlizenzen suspendiert.
(dmk)
