Skip to main content

Ce logiciel malveillant utilise une nouvelle technique astucieuse pour localiser ses victimes

Malware
(Crédit photo: Andriano.cz / Shutterstock)

Une nouvelle forme de logiciel malveillant est aujourd’hui capable de saisir et d’interroger l'adresse MAC de routeurs sans fil, afin de géolocaliser plus précisément la machine de sa victime.

La plupart des logiciels malveillants se contentent généralement de saisir et de vérifier l'adresse IP de leurs cibles par rapport aux bases de données GeoIP, de manière à déterminer leur emplacement géographique. Cependant, cet échantillon inédit, découvert et analysé par Xavier Mertens du SANS Internet Storm Center, effectue une requête supplémentaire.

Il extrait d'abord le Basic Service Set Identifier ou BSSID du routeur WiFi auquel l’utilisateur est connecté, puis l'interroge sur une base de données BSSID-to-geo gratuite. Ce qui permet de localiser précisément l'ordinateur de la future victime.

Un jeu du chat et de la souris

Selon les tests de Mertens, le malware a d'abord utilisé la base de données icanhazip.com pour obtenir l'emplacement approprié en fonction de l'adresse IP. Il soumet ensuite le BSSID à un service gratuit de BSSID-to-geo géré par un certain Alexander Mylnikov. Cette base de données contient plus de 34 millions de BSSIDs ainsi que leur dernière localisation géographique connue et propose de les visualiser directement sur une carte.

De l’avis de M. Mertens, les éditeurs de logiciels malveillants veulent déterminer la localisation de leurs victimes pour s'assurer qu'ils n'infectent pas les ordinateurs de leur propre pays, mais aussi quand ils veulent cibler des victimes de régions spécifiques.

S'appuyer uniquement sur les bases de données IP-to-Geo ne donne pas toujours des résultats précis. Toutefois, si on associe cette procédure d’attaque à celle consistant à interroger les BSSID, elle permettra de cibler beaucoup plus scrupuleusement l'emplacement géographique des victimes.

Bien que cette combinaison ne soit pas largement adoptée, d’après le rapport de M. Mertens, il ne s’agirait que d'une question de temps avant qu’elle ne se généralise.

Via: ZDNet