Este virus puede saber dónde estás si tu ordenador Windows está infectado
Los ciberdelincuentes están continuamente trabajando para lograr explotar las vulnerabilidades que puedan de los sistemas. En esta ocasión, los expertos en seguridad han detectado como el malware Whiffy Recon consigue escanear los puntos de acceso WiFi cercanos de los dispositivos infectados para dar con su ubicación casi en tiempo real.
Este último virus, que encontraron los investigadores de Secureworks a principios de agosto, entra a escena y por la puerta grande. Y todo, porque los ciberdelincuentes pueden triangular las posiciones de los sistemas infectados con ayuda de las conexiones WiFi.
Por el momento, los expertos en ciberseguridad han determinado que se infiltra en sistemas Windows que están comprometidos con este virus. Aunque su objetivo no es robar información o dañar el equipo, su finalidad es rastrear la ubicación de los dispositivos que ya están infectados con este malware.
Cómo actúa este malware
El virus Whiffy Recon se encarga de verificar de primeras el servicio WLANSVC en aquel equipo que ya está infectado. Y en el caso de que no exista, llega a registrar el bot en el servidor de comando y control (C2) y posteriormente el escáner se cierra al no estar infectado.
En el caso de que un sistema Windows ya esté comprometido con este malware, entonces es cuando empieza el escaneo WiFi. Además, hay que tener en cuenta que esta acción se da cada minuto. Para ello, usa la API WLAN de Windows para recoger los datos que necesite y comienza a enviar solicitudes HTTPS POST, que cuentan con la información de los puntos de acceso Wi-Fi en formato JSON, a la API de geolocalización de Google.
Una vez que obtiene los datos que necesita, el malware en particular llega a hacer un informe más completo con toda la información de los puntos de acceso. Ahí se puede encontrar la posición geográfica del equipo infectado, el método de cifrado, SSID, para luego enviarlo al servidor C2 como una solicitud JSON POST.
El principal problema de este malware es que, tal y como avisan los investigadores, dado que el escaneo de Wi-Fi se da cada 60 segundos, los ciberdelincuentes pueden conocer casi en tiempo real la ubicación de los dispositivos infectados. Por lo que pueden llegar a usar este virus para intimidar a las posibles víctimas y exigir de esta manera una serie de acciones por parte de estos usuarios. Y todo por el hecho de conocer su localización. Aunque, desde Secureworks aseguran que es «preocupante» ya que no está del todo claro cuál es la motivación de los ciberdelincuentes con este virus.
Hay que tener en cuenta que la API de geolocalización de Google es un servicio legítimo que triangula la ubicación de un sistema utilizando puntos de acceso WiFi que se tengan almacenados y datos de redes móviles para devolver coordenadas.
Sin embargo, los ciberdelincuentes consiguen usar este malware en sistemas Windows infectados para conocer esta información. Y más si se tiene en cuenta que este escaneo se ejecuta cada 60 segundas en los equipos. Y todo porque el malware Whiffy Recon cuenta con una URL codificada con la que pueden consultar la API y así dar con la información que mencionábamos.