Whiffy Recon: Stalker-Malware verfolgt Standorte alle 60 Sekunden
In der Welt der Cyberkriminalität gibt es immer wieder neue Bedrohungen, die unser digitales Leben gefährden. Eine kürzlich entdeckte Malware namens Whiffy Recon hat besorgniserregende Fähigkeiten: Sie überwacht den Standort eines infizierten Geräts im Intervall von 60 Sekunden. Die Beweggründe hinter dieser bösartigen Aktivität bleiben bisher im Dunkeln.
Forscher im Bereich IT-Sicherheit haben die Whiffy Recon Malware aufgespürt und analysiert. Dabei handelt es sich um einen Schädling, der auf Windows-Geräten agiert und in regelmäßigen Abständen von einer Minute seinen eigenen Standort überprüft. Die genauen Absichten dieser Malware sind derzeit noch unklar.
Die Experten von Secureworks haben diese schädliche Software identifiziert, die vom Smoke Loader-Botnet auf infizierte Systeme verteilt wird. Whiffy Recon nutzt die umliegenden WLAN-Zugangspunkte, um die Position des infizierten Systems mittels der Geolocation-API von Google zu triangulieren.
Whiffy Recon: Funktionsweise im Fokus
Grundsätzlich scheint Whiffy Recon keine besonders komplexe Malware zu sein. Laut der Analyse von Secureworks prüft sie, ob der Dienst "WLANSVC" auf dem infizierten Rechner vorhanden ist, jedoch nicht, ob er aktiv ist. Sollte der Dienst fehlen, beendet sich die Malware von selbst. Um dauerhaft auf dem System zu verbleiben, erstellt sie im Autostart-Ordner der Nutzer eine Verknüpfung zur Malware-Datei.
Die Malware initiiert zwei Code-Schleifen: Eine davon verbindet sich mit dem Command-and-Control-Server (C2), während die andere den WLAN-Scan durchführt. Die C2-Verbindung sucht nach der Datei "%APPDATA%\wlan\str-12.bin", die individuelle Werte für die Bot-ID-UUID und Secret-UUID enthält. Ist die Datei nicht vorhanden, versucht die Malware, die Daten vom C2-Server zu erhalten. Wenn die Datei existiert, sucht Whiffy Recon mithilfe der Windows WLAN-API nach umliegenden WLAN-Zugangspunkten. Diese Daten werden in einer JSON-Anfrage an die Google Geolocation-API gesendet.
Die gewonnenen Informationen über umliegende Accesspoints und deren Verschlüsselungsmethode werden dann zusammen mit den detaillierten Daten an den C2-Server übermittelt. Da diese Prozedur alle 60 Sekunden wiederholt wird, können die Angreifer das infizierte Gerät verfolgen. Die IT-Forscher betonen, dass bisher nicht klar ist, wie die Cyberkriminellen diese erlangten Daten nutzen. Dennoch stellen sie fest: "Indem sie den Zugang zum Standort beweisen, könnten sie Opfer einschüchtern oder Druck auf sie ausüben, um ihren Forderungen nachzukommen."
Die IT-Sicherheitsforscher teilen auch einige Anzeichen für eine Infektion (Indicators of Compromise, IOCs) mit. Sie warnen zudem davor, dass IP-Adressen und URLs schnell wechseln können.
Zuletzt hatte Microsoft Mitte Juli in 133 Windows-Treibern Malware entdeckt, die über eine gültige digitale Signatur verfügten. Das Unternehmen hat daraufhin diese Malware blockiert und die zugehörigen Entwicklerlizenzen ausgesetzt. Es bleibt unerlässlich, sich der ständig weiterentwickelnden Cyberbedrohungen bewusst zu sein und entsprechende Schutzmaßnahmen zu ergreifen.