WiFiを使用してターゲットの現在地を三角測量するマルウェアが登場

GPS

はじめに

新たな脅威が現れました。WiFiを利用した「Whiffy Recon Malware」が登場し、位置情報の特定に用いられています。このマルウェアは、感染したデバイスのWiFi接続を悪用し、位置の三角測量を行うことで、ターゲットの位置を特定します。この手法により、個人のプライバシーが脅かされる可能性があります。

元の記事によると、このマルウェアは、感染したデバイスから発信されるWiFi信号を複数のアクセスポイントで受信し、信号強度を解析することで、デバイスの位置を比較的高い精度で特定します。これにより、犯罪者はターゲットの移動パターンや滞在地を把握し、悪意ある行動を計画する際に使用する可能性があります。

Whiffy Recon Malwareの台頭は、セキュリティ意識の重要性を再確認させるものです。個人は公共のWiFiネットワークに接続する際には注意が必要であり、セキュリティソフトウェアの定期的な更新とデバイスの保護策の確立が不可欠です。

この事例は、デジタル世界における新たな脅威の一例と言えるでしょう。

元記事の翻訳

Bill Toulasによって書かれた記事です。

Smoke Loaderボットネットの背後にいるサイバー犯罪者は、Whiffy Reconと呼ばれる新しいマルウェアを使用して、WiFiスキャンとGoogleのジオロケーションAPIを介して感染したデバイスの場所を三角測量しています。

GoogleのジオロケーションAPIは、WiFiアクセスポイント情報を含むHTTPSリクエストを受け付け、緯度と経度の座標を返すことで、GPSシステムを持たないデバイスの位置を特定するサービスです。

Smoke Loaderは、数年前から存在しているモジュラーマルウェアドロッパーであり、主に侵害の初期段階で新しいペイロードを配信するために使用されます。

Whiffy Reconの場合、被害者の位置を知ることは、特定の地域や都市部により焦点を絞った攻撃を実行したり、追跡能力を示すことで被害者を威嚇したりするのに役立ちます。

エリア内のWiFiアクセスポイントの数に応じて、GoogleのジオロケーションAPIを介した三角測量の精度は20〜50メートル(65〜165フィート)以下の範囲ですが、密度の低い地域ではその数値が増加します。

Whiffy ReaconによるWiFiスキャン

マルウェアは最初にサービス名「WLANSVC」をチェックし、存在しない場合はボットをコマンドアンドコントロール(C2)サーバーに登録し、スキャン部分をスキップします。

Whiffy Recon の主な機能 (Secureworks)

そのサービスが存在するWindowsシステムの場合、Whiffy Recon は毎分実行される WiFi スキャン ループに入り、Windows WLAN API を悪用して必要なデータを収集し、JSON 形式の WiFi アクセス ポイント情報を含む HTTPS POST リクエストを Google のジオロケーション API に送信します。

マルウェアは、Googleの応答の座標を使用して、アクセスポイントの地理的位置、暗号化方法、SSIDなど、アクセスポイントに関するより完全なレポートを作成し、JSON POSTリクエストとして脅威アクターのC2に送信します。

C2に送信された完全な被害者プロファイル(Secureworks)

このプロセスは60秒ごとに発生するため、攻撃者は侵害されたデバイスをほぼリアルタイムで追跡できる可能性があります。

8月8日に新しいマルウェアを発見したSecureworksの研究者は、ハッカーがジオロケーション情報を使用して被害者を脅迫し、要求に従うように圧力をかける可能性があると推測しています。

C2への最初のPOSTリクエストでマルウェアが使用したバージョン番号は「1」であり、マルウェアの開発段階と、改良または新機能を追加する作成者の計画を示している可能性があります。

出典

New Whiffy Recon malware uses WiFi to triangulate your location
https://www.bleepingcomputer.com/news/security/new-whiffy-recon-malware-uses-wifi-to-triangulate-your-location/

注意書き

本ブログでは、個人的な情報収集・学習を目的に元の記事を翻訳・要約して掲載していますが、記事内容の正確性について、当方は一切の責任を負いません。必ず出典元の情報をご確認の上、各自の責任にてご利用ください。

コメント

タイトルとURLをコピーしました