Normalmente, quando hackers infectam um dos melhores laptops Windows com malware, o ganho financeiro é sua motivação. No entanto, eles também gostam de implantar malware infostealer para obter seus dados pessoais.
Pesquisadores de segurança da Unidade de Contra Ameaças da Secureworks encontraram uma nova e misteriosa variedade de malware que busca algo totalmente diferente: sua localização exata. Conforme relatado pelo The Hacker News , os hackers agora estão usando o malware SmokeLoader para entregar uma nova variedade de malware chamada Whiffy Recon.
Como o próprio nome sugere, SmokeLoader é uma oferta de malware como serviço vendida em fóruns da dark web, projetada para lançar cargas adicionais (que incluem outros malwares) em computadores vulneráveis. Geralmente é distribuído por meio de e-mails de phishing ou documentos maliciosos .
Agora o SmokeLoader está sendo usado para infectar PCs com o Whiffy Recon, mas mesmo os pesquisadores de segurança que descobriram essa nova variedade de malware não têm certeza do que os hackers por trás desta campanha pretendem usá-lo.
Identificando sua localização exata
De acordo com uma nova postagem no blog detalhando as descobertas da Secureworks, o malware Whiffy Recon “tem apenas uma operação” e “a cada 60 segundos ele triangular a posição dos sistemas infectados, verificando pontos de acesso Wi-Fi próximos”.
Para encontrar a localização exata de um dispositivo infectado, o Whiffy Recon usa as informações obtidas desses pontos de acesso Wi-Fi como um ponto de dados para a API de geolocalização do Google. Ele faz isso verificando constantemente o serviço WLAN AutoConfig do Windows nos PCs infectados. No entanto, se este serviço não existir, o WhiffyRecon será encerrado sozinho. O malware também adiciona um atalho para a pasta de inicialização do Windows em PCs infectados para continuar em execução quando o dispositivo for desligado e reiniciado.
O que é particularmente surpreendente sobre o malware Whiffy Recon é que ele verifica redes Wi-Fi próximas para determinar a localização de um dispositivo infectado a cada 60 segundos. Isso é altamente incomum e com essas informações, um hacker que usa esse malware em seus ataques “poderia formar uma imagem da geolocalização de um dispositivo”, segundo a Secureworks.
Whiffy Recon também envia dados de volta para um servidor de comando e controle ( C&C ) operado pelos hackers por trás desta campanha. Isso inclui as coordenadas precisas de localização de dispositivos infectados, descobertas usando a API de geolocalização do Google para triangular o paradeiro de um sistema com os dados dessas verificações de rede Wi-Fi.
Como se manter protegido contra malware do Windows
Embora tenhamos que esperar para ver o que os criadores do Whiffy Recon pretendem fazer com todos esses dados de geolocalização, existem algumas etapas que você pode seguir agora para se proteger dele e de outros malwares do Windows.
Para começar, você deve ter cuidado extra ao lidar com e-mails de remetentes desconhecidos. Você deve evitar clicar em qualquer link que essas mensagens contenham, e o mesmo vale para baixar e abrir quaisquer anexos. Erros ortográficos e gramaticais também são grandes sinais de alerta a serem observados ao determinar se um e-mail é legítimo ou não.
Embora todos os PCs com Windows 11 venham com o Windows Defender pré-instalado para ajudar a mantê-lo protegido contra malware e outras ameaças, você pode querer considerar alguma proteção extra na forma de um dos melhores softwares antivírus . Os mecanismos antivírus que alimentam esses programas são atualizados com mais frequência e, às vezes, você também obtém acesso a ferramentas de segurança adicionais, como VPN ou gerenciador de senhas .
No momento, não sabemos muito sobre o Whiffy Recon ou as intenções de seus criadores, mas com dados de localização precisos em dispositivos infectados, pode acabar sendo um spyware usado para manter o controle sobre alvos de alto valor.
FONTE: TOM’S GUIDE