Whiffy Recon 恶意软件发现 Windows 计算机的 Wi-Fi 位置

Whiffy Recon 恶意软件的发现揭示了网络安全领域令人担忧的发展。这种恶意软件通过 SmokeLoader 传播，这是一种加载程序恶意软件，主要用于将额外的有效负载投放到受感染的 Windows 计算机上，构成了重大威胁。

《Whiffy Recon》的作案手法是独一无二的。它的运行方式是每 60 秒扫描一次附近的 Wi-Fi 接入点，并将收集到的数据用作 Google 地理定位 API 的参考点。然后，从此 API 检索到的位置信息被发送回恶意行为者，使他们能够查明受感染系统的位置。

SmokeLoader，顾名思义，主要是一种加载器恶意软件。其主要功能是促进将其他恶意软件传送到主机上。自 2014 年以来，它一直可以出售给俄罗斯的威胁行为者，并且通常通过网络钓鱼电子邮件进行分发。

Whiffy Recon 的复杂操作

Whiffy Recon 被编程为寻找受感染系统上的 WLAN 自动配置服务 (WLANSVC)。如果它没有找到该服务，它就会自行终止。请务必注意，扫描仪不会验证服务是否可运行。

为了确保持久性，Whiffy Recon 添加了 Windows 启动文件夹的快捷方式。此外，它还通过在 HTTP POST 请求中发送随机生成的“botID”来向远程命令和控制 (C2) 服务器注册。作为响应，服务器发送成功消息和唯一标识符，然后将其存储在名为“%APPDATA%\Roaming\wlan\str-12.bin”的文件中。

攻击的第二阶段涉及使用 Windows WLAN API 持续扫描 Wi-Fi 接入点。然后，这些扫描结果会转发到 Google Geolocation API，从而能够对受感染系统的位置进行三角测量。该信息随后以 JSON 字符串的形式传输到 C2 服务器。

了解 Whiffy Recon 的运作方式对于对抗其威胁至关重要。本节剖析该恶意软件的功能，从其启动和持久机制到其侦察活动，深入了解其通过附近的 Wi-Fi 接入点定位 Windows 计算机并将这些数据传输给恶意行为者的技术。