Les chercheurs de Secureworks ont découvert un nouveau virus au début du mois d’août, qui fait une entrée remarquée. Et tout cela grâce à la capacité des cybercriminels à localiser les systèmes infectés en utilisant les connexions WiFi.
Pour l’instant, les experts en cybersécurité ont déterminé que ce virus s’infiltre dans les systèmes Windows déjà compromis. Même s’il ne vise pas à voler des informations ou à endommager l’appareil, son but est de tracer l’emplacement des appareils déjà infectés par ce malware.
Le fonctionnement de ce malware
Le virus Whiffy Recon vérifie d’abord le service WLANSVC sur l’appareil déjà infecté. Et dans le cas où il n’existe pas, le bot s’enregistre sur le serveur de commande et de contrôle (C2) et le scanner se ferme ensuite car l’appareil n’est pas infecté.
Si un système Windows est déjà compromis par ce malware, alors le scan WiFi commence. De plus, il faut noter que cette action se produit toutes les minutes. Pour cela, il utilise l’API WLAN de Windows pour collecter les données nécessaires et commence à envoyer des requêtes HTTPS POST, contenant les informations des points d’accès WiFi au format JSON, à l’API de géolocalisation de Google.
Une fois qu’il obtient les données nécessaires, le malware génère un rapport plus complet avec toutes les informations des points d’accès. On peut y trouver la position géographique de l’appareil infecté, la méthode de chiffrement, le SSID, pour ensuite l’envoyer au serveur C2 sous forme de requête JSON POST.
Un scan du Wifi toutes les 60 secondes
Le principal problème de ce malware est que, comme le signalent les chercheurs, étant donné que le scan WiFi a lieu toutes les 60 secondes, les cybercriminels peuvent connaître presque en temps réel l’emplacement des appareils infectés. Ils peuvent donc utiliser ce virus pour intimider les victimes potentielles et exiger certaines actions de la part de ces utilisateurs, simplement en connaissant leur localisation. Cependant, Secureworks affirme que la motivation des cybercriminels avec ce virus n’est pas totalement claire et que cela est «préoccupant».
Il convient de noter que l’API de géolocalisation de Google est un service légitime qui utilise les points d’accès WiFi et les données des réseaux mobiles pour trianguler la position d’un système et fournir des coordonnées.
Cependant, les cybercriminels parviennent à utiliser ce malware sur les systèmes Windows infectés pour obtenir ces informations. Surtout si l’on considère que ce scan est effectué toutes les 60 secondes sur les appareils. Tout cela grâce à une URL codée dans le malware Whiffy Recon, qui leur permet de consulter l’API et d’obtenir les informations mentionnées précédemment.