Detectan un nuevo malware "Whiffy Recon" que triangula la posición de tu móvil mediante el WiFi

En un mundo cada vez más digitalizado, el ciberespacio sigue siendo un campo de batalla donde los actores maliciosos buscan nuevas formas de explotar la tecnología para sus fines nefastos.

Hoy, nos sumergimos en el oscuro mundo de la ciberseguridad para desvelar un nuevo y misterioso malware que ha surgido en escena: Whiffy Recon.

Whiffy Recon; un peligroso malware que geolocaliza tu dispositivo

Whiffy Recon se ha convertido en el foco de atención de los expertos en ciberseguridad debido a su funcionamiento intrigante y a las incógnitas que plantea.

Este malware, que ha sido identificado por el Equipo de Amenazas Contrarias de Secureworks (CTU), es una cepa de malware que se propaga a través del conocido SmokeLoader. Su singularidad radica en su única operación: cada 60 segundos, triangula la posición de los sistemas infectados escaneando los puntos de acceso Wi-Fi cercanos como puntos de referencia para la API de geolocalización de Google.

En otras palabras, Whiffy Recon se infiltra en las máquinas Windows comprometidas, y en lugar de robar información o dañar los sistemas, se centra en rastrear la ubicación física de los dispositivos infectados.

Esta información se envía sigilosamente de vuelta a los atacantes. ¿Pero cuál es el propósito detrás de esta insidiosa operación? Esa es la pregunta que tiene perplejos a los expertos en ciberseguridad.

La cuestión central que rodea a Whiffy Recon es su motivación. ¿Quién o qué podría estar interesado en conocer la ubicación precisa de dispositivos infectados? La regularidad del escaneo cada minuto es inusual y plantea un enigma aún sin resolver. Con estos datos, un atacante podría trazar un mapa de la geolocalización de un dispositivo, vinculando lo digital con lo físico.

Este tipo de información podría utilizarse para llevar a cabo ataques específicos, como el espionaje, el secuestro de datos o incluso el seguimiento de individuos en el mundo real.

SmokeLoader sigue haciendo estragos

Para comprender mejor la amenaza que representa Whiffy Recon, es crucial conocer su vehículo de entrega, SmokeLoader, y el panorama más amplio de la ciberseguridad.

SmokeLoader, como su nombre sugiere, es un malware de carga que se utiliza para depositar cargas adicionales en un host. Aunque se ha utilizado desde 2014, su origen se vincula principalmente a actores de amenazas con base en Rusia.

Lo que hace a SmokeLoader especialmente peligroso es su método de distribución: los correos electrónicos de phishing. Esta técnica de ingeniería social sigue siendo una de las principales puertas de entrada para los ciberataques.

Una característica distintiva de Whiffy Recon es su capacidad para mantenerse persistente en el sistema infectado. Utiliza un acceso directo agregado a la carpeta de Inicio de Windows para asegurarse de que se ejecute cada vez que se inicie el sistema.

Además, se registra en un servidor remoto de comando y control (C2) al pasar un "botID" generado aleatoriamente en una solicitud HTTP POST. Esta técnica de registro sigiloso permite a los atacantes mantener un control constante sobre los dispositivos comprometidos.

La aparición de Whiffy Recon plantea una serie de preguntas intrigantes en el campo de la ciberseguridad. ¿Quién está detrás de este malware y cuáles son sus objetivos? La falta de una motivación clara es inquietante, y su capacidad para triangular la ubicación de los dispositivos abre la puerta a una amplia gama de posibles usos maliciosos.

"Como capacidad independiente, carece de la capacidad de monetizarse rápidamente. Las incógnitas aquí son preocupantes y la realidad es que podría utilizarse para respaldar cualquier número de motivaciones nefastas"

Don Smith, VP de inteligencia de amenazas en Secureworks CTU