Whiffy Recon 惡意軟件發現 Windows 計算機的 Wi-Fi 位置
Whiffy Recon 惡意軟件的發現揭示了網絡安全領域令人擔憂的發展。這種惡意軟件通過 SmokeLoader 傳播,這是一種加載程序惡意軟件,主要用於將額外的有效負載投放到受感染的 Windows 計算機上,構成了重大威脅。
《Whiffy Recon》的作案手法是獨一無二的。它的運行方式是每 60 秒掃描一次附近的 Wi-Fi 接入點,並將收集到的數據用作 Google 地理定位 API 的參考點。然後,從此 API 檢索到的位置信息被發送回惡意行為者,使他們能夠查明受感染系統的位置。
SmokeLoader,顧名思義,主要是一種加載器惡意軟件。其主要功能是促進將其他惡意軟件傳送到主機上。自 2014 年以來,它一直可以出售給俄羅斯的威脅行為者,並且通常通過網絡釣魚電子郵件進行分發。
Whiffy Recon 的複雜操作
Whiffy Recon 被編程為尋找受感染系統上的 WLAN 自動配置服務 (WLANSVC)。如果它沒有找到該服務,它就會自行終止。請務必注意,掃描儀不會驗證服務是否可運行。
為了確保持久性,Whiffy Recon 添加了 Windows 啟動文件夾的快捷方式。此外,它還通過在 HTTP POST 請求中發送隨機生成的“botID”來向遠程命令和控制 (C2) 服務器註冊。作為響應,服務器發送成功消息和唯一標識符,然後將其存儲在名為“%APPDATA%\Roaming\wlan\str-12.bin”的文件中。
攻擊的第二階段涉及使用 Windows WLAN API 持續掃描 Wi-Fi 接入點。然後,這些掃描結果會轉發到 Google Geolocation API,從而能夠對受感染系統的位置進行三角測量。該信息隨後以 JSON 字符串的形式傳輸到 C2 服務器。
了解 Whiffy Recon 的運作方式對於對抗其威脅至關重要。本節剖析該惡意軟件的功能,從其啟動和持久機製到其偵察活動,深入了解其通過附近的 Wi-Fi 接入點定位 Windows 計算機並將這些數據傳輸給惡意行為者的技術。