Os autores de malware estão usando o endereço MAC WiFi AP (também conhecido como BSSID) como uma forma de geo-localizar hosts infectados.

Operadores de malware que desejam saber a localização das vítimas que infectam geralmente contam com uma técnica simples em que pegam o endereço IP da vítima e o verificam em um banco de dados IP-to-geo como o GeoIP da MaxMind para obter a localização geográfica aproximada da vítima.

Embora a técnica não seja muito precisa, ainda é o método mais confiável para determinar a localização física real de um usuário com base nos dados encontrados em seu computador.

No entanto, em uma postagem de blog no mês passado, Xavier Mertens, pesquisador de segurança do SANS Internet Storm Center, disse que descobriu uma nova cepa de malware que está usando uma segunda técnica em cima da primeira.

Esta segunda técnica se baseia em capturar o BSSID do usuário infectado .

Conhecido como " Identificador de conjunto de serviços básicos " , o BSSID é basicamente o endereço físico MAC do roteador sem fio ou ponto de acesso que o usuário está usando para se conectar via WiFi.

Você pode ver o BSSID em sistemas Windows executando o comando:

netsh wlan show interfaces | encontre "BSSID"

Mertens disse que o malware que descobriu estava coletando o BSSID e, em seguida, comparando -o com um banco de dados BSSID-to-geo gratuito mantido por Alexander Mylnikov.

Este banco de dados é uma coleção de BSSIDs conhecidos e a última localização geográfica em que foram localizados.

Esses tipos de banco de dados são bastante comuns hoje em dia e geralmente são usados ​​por operadoras de aplicativos móveis como formas alternativas de rastrear usuários quando eles não conseguem acessar os dados de localização de um telefone diretamente (ou seja, consulte WiGLE , um dos serviços mais populares usados ​​para esses tipos de conversões de BSSID para geo).

Comparar o BSSID com o banco de dados de Mylnikov permitiria ao malware determinar efetivamente a localização geográfica física do ponto de acesso WiFi que a vítima estava usando para acessar a internet, que é uma maneira muito precisa de descobrir a posição geográfica da vítima.

Usar os dois métodos juntos permite que os operadores de malware confirmem se a consulta inicial de geolocalização baseada em IP está correta com o segundo método BSSID.

Operadores de malware geralmente verificam a localização de uma vítima porque alguns grupos querem fazer vítimas apenas dentro de países específicos (como operações patrocinadas pelo estado) ou não querem infectar vítimas em seu país de origem (para evitar chamar a atenção do local aplicação da lei e evitar processo).

No entanto, os bancos de dados IP-to-geo são conhecidos por seus resultados extremamente imprecisos, já que telcos e centros de dados tendem a adquirir ou alugar blocos de endereços IP no mercado livre. Isso resulta em alguns blocos de IP sendo atribuídos a diferentes organizações em outras regiões do globo a partir de seu proprietário inicial / real.

Usar um segundo método para verificar a localização geográfica de uma vítima não é amplamente adotado hoje, mas a técnica tem benefícios claros que outras operações de malware certamente apreciarão e decidirão usar no futuro.

Fonte: ZDNet