新型Whiffy Recon恶意软件利用Wi-Fi定位

关键要点

• Whiffy Recon恶意软件通过Wi-Fi扫描和Google地理定位API确定受害者位置。
• 攻击者使用Smoke Loader僵尸网络进行恶意活动。
• Windows系统受到不同程度的影响，具体表现为多次扫描和数据收集。
• 研究人员发现Whiffy Recon能够生成详细的Wi-Fi接入点报告并发送给攻击者。
• 未来，Whiffy Recon可能会增加更高级的功能，威胁受害者屈服于要求。

据了解，最近出现的Whiffy Recon恶意软件，采用Wi-Fi技术来定位受影响设备的位置。今年，BleepingComputer报道了利用SmokeLoader僵尸网络的攻击活动，这种恶意软件能够通过Wi-
Fi扫描和Google的地理定位API来实现其功能。根据Secureworks的报告，这种恶意软件在没有“WLANSVC”服务名的情况下，会进行自动化的设备注册到攻击者的指挥控制服务器。

对于有“WLANSVC”服务的Windows系统，Whiffy Recon将进行长达数分钟的扫描循环。之后，恶意软件利用Windows WLANAPI来收集数据，并向Google的地理定位API发送带有Wi-Fi接入点数据的HTTPS POST请求。这意味着攻击者能够精确获取受害者的位置信息。

恶意行为展示

僵尸网络类型 | 操作方式
—|—
Smoke Loader | 部署Whiffy Recon恶意软件并进行Wi-Fi定位
Windows系统影响 | 长时间扫描和数据访问

在研究人员的分析中，WhiffyRecon利用Google提供的坐标生成接入点报告，并将其作为JSON格式的POST请求发送给攻击者的C2服务器。这使得攻击者能够详细了解受害者的网络环境，并可能会被迫妥协。研究人员预测，WhiffyRecon未来可能会增加更高级的功能，进一步加强对受害者的压力，促使他们屈服于攻击者的要求。

这种恶意软件的出现提醒我们，在网络安全方面需要保持警惕，特别是与Wi-
Fi连接和位置服务相关的活动。时刻关注系统安全更新，并采取必要的防范措施，可以有效降低此类攻击的风险。