Eine Malware-Variante, die es schon seit über einem Jahrzehnt gibt, verfügt über einen neuen Trick: die Fähigkeit, den ungefähren Standort eines infizierten PCs zu triangulieren.
Die als Smoke Loader bekannte Schadsoftware wird seit Jahren in Foren für Cyberkriminelle und an russische Hacker verkauft. Es wird normalerweise verwendet, um zusätzliche Schadprogramme zu laden, die es dem Angreifer ermöglichen können, einen Windows-PC zu kapern. Anfang dieses Monats entdeckten Sicherheitsforscher von Secureworks, dass die Malware eine neue und gruselige Nutzlast namens „Whiffy Recon.“
„Alle 60 Sekunden trianguliert es die Positionen der infizierten Systeme, indem es nahegelegene WLAN-Zugangspunkte als Datenpunkt für die Geolokalisierungs-API von Google scannt“, sagt Secureworks. „Der von der Geolocation-API von Google zurückgegebene Standort wird dann an den Gegner zurückgesendet.“
Laut Secureworks ist die Wi-Fi-Triangulationsfunktion in der Hacking-Welt ebenfalls eine Seltenheit. Whiffy Recon kann dank der Google Maps-Funktion den Standort eines PCs triangulieren. Geolocation-API, mit dem Breiten- und Längenkoordinaten für Geräte ohne natives GPS zurückgegeben werden sollen. Um die Koordinaten zurückzugeben, stützt sich die API von Google auf öffentliche Daten zu Mobilfunkmasten und WLAN-Zugangspunkten.
Der genaue Zweck von Whiffy Recon bleibt unklar. Doch die Verdächtigen von Secure Works könnten das Erlernen des ungefähren Standorts des infizierten PCs für Einschüchterungstaktiken nutzen, etwa um ein Opfer unter Druck zu setzen, seinen Forderungen nachzukommen.
„Diese Art von Aktivität/Fähigkeit wird von kriminellen Akteuren sehr selten genutzt“, sagte Don Smith, Secureworks VP für Threat Intelligence, in einer E-Mail. „Als eigenständige Funktion ist eine schnelle Monetarisierung nicht möglich. Das Unbekannte hier ist besorgniserregend und die Realität ist, dass es zur Unterstützung einer Vielzahl schändlicher Beweggründe genutzt werden könnte.“
Von unseren Redakteuren empfohlen
Secureworks fügt hinzu, dass Smoke Loader entdeckt wurde, der auf Benutzer in den USA, Großbritannien, Deutschland und Frankreich abzielt. Die Schadsoftware kann oft über Phishing-E-Mail-Programme eindringen. Um Whiffy Recon zu erkennen, stellt Secureworks fest, dass die schädliche Nutzlast auf dem PC verbleibt, indem die Verknüpfung wlan.lnk im Startordner des Benutzers erstellt wird.
„Diese können entfernt werden, um zu verhindern, dass die Malware beim Start ausgeführt wird. Beachten Sie jedoch, dass es keine Möglichkeit gibt, bereits gesendete Daten nachzuverfolgen und zu löschen“, fügt Secureworks hinzu.
Gefällt Ihnen, was Sie gerade lesen?
Melden Sie sich an für SecurityWatch Newsletter mit unseren Top-Geschichten zum Thema Datenschutz und Sicherheit direkt in Ihren Posteingang.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Wenn Sie einen Newsletter abonnieren, erklären Sie sich damit einverstanden Nutzungsbedingungen Und Datenschutzrichtlinie. Sie können den Newsletter jederzeit abbestellen.