Operator malware yang ingin mengetahui lokasi korban yang mereka infeksi biasanya mengandalkan teknik sederhana di mana mereka mengambil alamat IP korban dan memeriksanya dengan database IP-to-geo seperti MaxMind’s GeoIP untuk mendapatkan perkiraan lokasi geografis korban.
Operator malware biasanya memeriksa lokasi korban karena beberapa kelompok peretas hanya ingin meretas korban dalam negara tertentu.
Namun, dalam sebuah posting blog bulan lalu, Xavier Mertens, seorang peneliti keamanan dengan SANS Internet Storm Center, mengatakan ia menemukan jenis malware baru yang menggunakan teknik kedua di atas yang pertama.
Teknik kedua ini bergantung pada pengambilan BSSID pengguna yang terinfeksi.
Dikenal sebagai “Basic Service Set Identifier”, BSSID pada dasarnya adalah alamat fisik MAC dari router nirkabel atau titik akses yang digunakan pengguna untuk terhubung melalui WiFi.
Mertens mengatakan malware yang dia temukan mengumpulkan BSSID dan kemudian memeriksanya menggunakan database BSSID-to-geo gratis yang dikelola oleh Alexander Mylnikov.
Memeriksa BSSID terhadap database Mylnikov akan memungkinkan malware untuk secara efektif menentukan lokasi geografis fisik dari titik akses WiFi yang digunakan korban untuk mengakses internet, yang merupakan cara yang jauh lebih akurat untuk menemukan posisi geografis korban.
Menggunakan kedua metode secara bersamaan memungkinkan operator malware untuk mengonfirmasi bahwa kueri geolokasi berbasis IP awal sudah benar dengan metode BSSID kedua.
Sumber: ZDNet