Un nouveau logiciel malveillant utilise l'identifiant du WiFi pour déterminer l'emplacement de sa victime

Un chercheur en sécurité a identifié un nouvel échantillon de malware qui utilise une technique intéressante pour déterminer l’emplacement de sa victime potentielle, sans utiliser les différents services de l’API GeoIP.

Certains pirates ne veulent pas attirer l’attention dans les pays d’où ils opèrent, et ils donnent généralement à leurs attaques des fonctionnalités qui leur permettent de déterminer l’emplacement d’une cible. Cela leur permet également de cibler des pays spécifiques.

Des cybercriminels utilisent les services de l’API GeoIP pour cette tâche, mais il s’avère qu’il existe d’autres moyens qui ne nécessitent pas l’accès à ces API. Le chercheur en sécurité Xavier Mertens a trouvé un échantillon de logiciel malveillant qui interroge initialement l’adresse IP publique de la victime à l’aide d’icanhazip.com.

À la deuxième étape, cependant, le logiciel malveillant utilise un autre service, «api.mylnikov.org».

«Ce service gratuit fournit des données de géolocalisation pour les adresses MAC WiFi ou BSSID», explique Mertens. «Ceci est également utile pour détecter l’emplacement de la victime. Le malware soumet l’adresse MAC de la passerelle par défaut (dans environnement VM) ou le BSSID (Identificateurs d’ensemble de service de base, l’adresse MAC du point d’accès sans fil). »

L’API renvoie la latitude et la longitude dans les données JSON, ce qui est plus que suffisant pour trouver le pays et la ville d’origine. Les cybercriminels mettent constamment à jour leurs logiciels malveillants avec de nouvelles fonctionnalités qui leur permettent de contourner les mesures de sécurité ou d’ajouter de nouvelles capacités.

Ceci n’est qu’un exemple, mais il est vraisemblable qu’il soit déjà implémenté dans des logiciels malveillants actifs.