Se ha descubierto una nueva forma de malware que captura y consulta la dirección MAC del router inalámbrico en un intento por ubicar geográficamente la máquina de su víctima con mayor precisión.
La mayoría de los programas maliciosos generalmente solo toman y verifican la dirección IP de sus objetivos contra las bases de datos GeoIP para determinar su ubicación. Sin embargo, el nueva muestra, analizado por Xavier Mertens del SANS Internet Storm Center, realiza una consulta adicional.
Primero extrae el identificador de conjunto de servicios básicos o BSSID del enrutador WiFi al que está conectado un usuario y luego lo consulta en una base de datos gratuita de BSSID a geo para determinar mejor la ubicación de la computadora de la víctima.
Malware: Gato y ratón
Según el análisis de Mertens, el malware utilizó primero la base de datos icanhazip.com para obtener la ubicación adecuada en función de la dirección IP. Luego envía el BSSID a un servicio gratuito de BSSID a geo mantenido por un tal Alexander Mylnikov.
Según Mylnikov, su base de datos tiene más de 34 millones de BSSID junto con su última ubicación geográfica conocida. También demuestra en su sitio web cómo la información recuperada de su base de datos se puede visualizar en un mapa.
Como señala Mertens en su análisis, los operadores de malware quieren determinar la ubicación de sus víctimas para asegurarse de que no infecten computadoras en su propio país, y también cuando quieren apuntar a víctimas en países específicos.
Confiar únicamente en bases de datos de IP a Geo no siempre produce resultados precisos. Sin embargo, cuando se combina con el enfoque novedoso de consultar BSSID, conducirá a una determinación mucho más precisa de la ubicación geográfica de la víctima.
Si bien esta combinación de verificar la ubicación de una víctima no está ampliamente adoptada, según el informe, podría ser solo una cuestión de tiempo.