Il trojan SmokeLoader è un nome ben noto nel settore della sicurezza informatica, essendo attivo sulla scena da diverso tempo.
Nonostante ciò, una funzione implementata dai suoi sviluppatori ha reso questo agente malevolo potenzialmente ancora più pericoloso. Stiamo parlando del malware Whiffy Recon che, una volta scaricato attraverso il suddetto trojan, esegue la scansione del WiFi ogni 60 secondi e acquisisce dati sulla posizione della vittima, sfruttando anche gli API di geolocalizzazione di Google.
A lanciare l’allarme sono stati i ricercatori di Secureworks che, dopo aver scoperto Whiffy Recon lo scorso 8 agosto, hanno affermato come “Non è chiaro come gli autori degli attacchi utilizzino questi dati. L’accesso alle informazioni di geolocalizzazione potrebbe essere utilizzato per intimidire le vittime o spingerle a soddisfare eventuali richieste“.
L’API di geolocalizzazione di Google è un servizio che accetta una richiesta HTTPS da un ripetitore cellulare e dai punti di accesso WiFi che un client mobile può rilevare, per poi restituire le coordinate di latitudine e longitudine.
Whiffy Recon può capire dove ti trovi in qualunque momento
Il malware verifica la presenza del servizio WLANSVC sul sistema compromesso che indica la presenza di funzionalità wireless su un sistema Windows.
“Il malware controlla solo il nome del servizio e non conferma che il servizio sia operativo. Se il nome del servizio non esiste, lo scanner si chiude. Whiffy Recon persiste nel sistema creando il collegamento wlan.lnk nella cartella Avvio dell’utente. Questo collegamento punta alla posizione originale del malware Whiffy Recon scaricato” affermano gli specialisti di Secureworks.
I ricercatori hanno affermato che il codice malware viene eseguito in due cicli diversi, uno registra il bot con il server di comando e controllo e il secondo esegue la scansione WiFi.
Se SmokeLoader è una minaccia già conosciuta, essendo un trojan presente online dal 2011, questo nuovo agente malevolo sembra poterlo “rivitalizzare”. Per quanto riguarda l’utenza, è consigliabile adottare sempre un atteggiamento prudente per evitare sia il trojan che il malware annesso.
Un antivirus di qualità e aggiornato, in tal senso, può essere prezioso per evitare veri e propri disastri.