8 августа 2023 года исследователи Secureworks Counter Threat Unit (CTU) заметили, как ботнет Smoke Loader забрасывает на зараженные системы пользовательский исполняемый файл для сканирования Wi-Fi. Исследователи CTU™ назвали эту вредоносную программу Whiffy Recon. Она триангулирует местоположение зараженных систем, используя близлежащие точки доступа Wi-Fi в качестве точки данных для геолокационного API Google.
SmokeLoader Botnet
Сначала Whiffy Recon проверяет наличие сервиса WLANSVC на скомпрометированной системе. Этот сервис указывает на наличие беспроводных возможностей в системе Windows. Однако вредоносная программа проверяет только имя сервиса и не подтверждает его работоспособность. Если имя службы не существует, то сканер завершает работу. Whiffy Recon сохраняется в системе, создавая ярлык wlan.lnk в папке Startup пользователя. Этот ярлык указывает на исходное местоположение загруженной вредоносной программы Whiffy Recon.
Основной код Whiffy Recon работает в виде двух циклов. Один цикл регистрирует бота на сервере C2, а второй выполняет сканирование Wi-Fi.
Первый цикл проверяет наличие файла с именем %APPDATA%\wlan\str-12.bin. Вредоносная программа рекурсивно сканирует каталог %APPDATA%\Roaming\*.*, пока не найдет файл с именем str-12.bin. Непонятно, почему при создании файла в определенном месте он ищет его во всем каталоге.
Если файл существует и содержит корректные параметры, то Whiffy Recon переходит во второй цикл для выполнения сканирования Wi-Fi. Если файл str-12.bin не существует в системе, Whiffy Recon регистрирует скомпрометированную систему на C2-сервере, отправляя полезную нагрузку в виде JSON-запроса HTTPS POST (см. рис. 2). В заголовках HTTP содержится поле Authorization, содержащее жестко закодированный UUID. Тело запроса содержит три параметра: случайно сгенерированный UUID для botId, идентифицирующий систему, тип, установленный на "COMPUTER", и номер версии 1. Номер версии говорит о планах дальнейшего развития.
В случае успешной регистрации сервер C2 отвечает JSON-сообщением, свидетельствующим об успехе (см. рис. 3). Поле "secret" содержит UUID, который используется вместо жестко закодированного UUID авторизации в последующих POST-запросах. UUID botId и секретный UUID хранятся в файле str-12.bin, который помещается в папку %APPDATA%\Roaming\wlan\.
После определения идентификатора botId и секретного ключа во втором цикле вредоносной программы выполняется поиск точек доступа Wi-Fi через Windows WLAN API (см. рис. 4). Этот цикл запускается каждые 60 секунд.
Результаты сканирования отображаются в JSON-структуру, которая отправляется в Google Geolocation API через HTTPS POST-запрос. Google Geolocation API - это легитимный сервис, который триангулирует местоположение системы, используя собранные данные о точках доступа Wi-Fi и мобильных сетях, и возвращает координаты. Код Whiffy Recon содержит жестко закодированный URL-адрес, который используется злоумышленниками для запроса к API.
Эти координаты затем отображаются на более полную структуру JSON, содержащую подробную информацию о каждой точке беспроводного доступа, обнаруженной в данном районе. В этих данных указываются методы шифрования, используемые точками доступа.
Эти данные отправляются в виде POST-запроса на сервер C2 с использованием секретного UUID авторизации и URI /bots/<UUID>/scanned.
Поскольку сканирование Wi-Fi происходит каждые 60 секунд и обогащается геолокационными данными, это может позволить угрожающим субъектам отслеживать скомпрометированную систему. Неясно, каким образом угрожающие субъекты используют эти данные. Демонстрация доступа к геолокационной информации может быть использована для запугивания жертв или давления на них с целью заставить выполнить требования.
Indicators of Compromise
IPv4
- 194.87.32.20
URLs
- http://195.123.212.53/wlan.exe
MD5
- 009230972491f5f5079e8e86e19d5458
SHA1
- 8532e67e1fd8441dc8ef41f5e75ee35b0d12a087
SHA256
- 935b44784c055a897038b2cb6f492747c0a1487f0ee3d3a39319962317cd4087