Smoke loader botnet
A Secureworks kutatóinak jelentése szerint a Smoke loader botnetet rosszindulatú szereplők használják arra, hogy beszivárogjanak a feltört rendszerekbe és telepítsenek Wi-Fi-ellenőrző fájlokat, hogy információkat gyűjtsenek a rendszer földrajzi helyéről a Google Geolocation API-n keresztül.
A használt malware a Whiffy recon nevet kapta, és a közeli Wi-Fi-t használja az érintett rendszer pontos koordinátáinak megtalálásához. A Windows rendszerek a WLANSVC szolgáltatást használják, amely jelezheti a vezeték nélküli képesség jelenlétét. Ha a szolgáltatás létezik a fertőzött rendszeren, akkor létrehoz egy wlan.lnk parancsikont az Startup mappában, amely a rosszindulatú program eredeti helyére mutat. Azonban ha nincs Wifi, a kártevő kilép.
Ha a fájl létezik és érvényes paramétereket tartalmaz, a Whiffy recon továbblép a második körhöz a Wi-Fi-keresés végrehajtásához. Ha az str-12.bin fájl nem létezik a rendszeren, a Whiffy recon regisztrálja a feltört rendszert a C2-kiszolgálón úgy, hogy HTTPS POST-kérésben elküld egy JSON-adatot.