Whiffy Recon 惡意軟件發現 Windows 計算機的 Wi-Fi 位置

Whiffy Recon 惡意軟件的發現揭示了網絡安全領域令人擔憂的發展。這種惡意軟件通過 SmokeLoader 傳播，這是一種加載程序惡意軟件，主要用於將額外的有效負載投放到受感染的 Windows 計算機上，構成了重大威脅。

《Whiffy Recon》的作案手法是獨一無二的。它的運行方式是每 60 秒掃描一次附近的 Wi-Fi 接入點，並將收集到的數據用作 Google 地理定位 API 的參考點。然後，從此 API 檢索到的位置信息被發送回惡意行為者，使他們能夠查明受感染系統的位置。

SmokeLoader，顧名思義，主要是一種加載器惡意軟件。其主要功能是促進將其他惡意軟件傳送到主機上。自 2014 年以來，它一直可以出售給俄羅斯的威脅行為者，並且通常通過網絡釣魚電子郵件進行分發。

Whiffy Recon 的複雜操作

Whiffy Recon 被編程為尋找受感染系統上的 WLAN 自動配置服務 (WLANSVC)。如果它沒有找到該服務，它就會自行終止。請務必注意，掃描儀不會驗證服務是否可運行。

為了確保持久性，Whiffy Recon 添加了 Windows 啟動文件夾的快捷方式。此外，它還通過在 HTTP POST 請求中發送隨機生成的“botID”來向遠程命令和控制 (C2) 服務器註冊。作為響應，服務器發送成功消息和唯一標識符，然後將其存儲在名為“%APPDATA%\Roaming\wlan\str-12.bin”的文件中。

攻擊的第二階段涉及使用 Windows WLAN API 持續掃描 Wi-Fi 接入點。然後，這些掃描結果會轉發到 Google Geolocation API，從而能夠對受感染系統的位置進行三角測量。該信息隨後以 JSON 字符串的形式傳輸到 C2 服務器。

了解 Whiffy Recon 的運作方式對於對抗其威脅至關重要。本節剖析該惡意軟件的功能，從其啟動和持久機製到其偵察活動，深入了解其通過附近的 Wi-Fi 接入點定位 Windows 計算機並將這些數據傳輸給惡意行為者的技術。