Secureworks的研究人員發(fā)現(xiàn)，Smoke Loader 僵尸網(wǎng)絡(luò)背后的網(wǎng)絡(luò)犯罪分子正在使用一種名為 Whiffy Recon 的新惡意軟件，通過 WiFi 掃描和 Google 地理定位 API 來定位受感染設(shè)備的位置。

Google 的地理定位 API 是一項(xiàng)帶有 WiFi 接入點(diǎn)信息的 HTTPS 請求，能返回緯度和經(jīng)度坐標(biāo)以定位沒有 GPS 系統(tǒng)的設(shè)備。

在 Whiffy Recon 的案例中，了解受害者的位置有助于更好地針對特定地區(qū)甚至城市進(jìn)行攻擊，或者通過展示跟蹤能力來幫助恐嚇受害者。根據(jù)該區(qū)域 WiFi 接入點(diǎn)的數(shù)量，通過 Google 地理定位 API 進(jìn)行的三角測量精度范圍可達(dá)20米——50 米甚至更小。但在人口密度較低的區(qū)域，該精度可能會(huì)降低。

惡意軟件首先檢查服務(wù)名稱“WLANSVC”，如果不存在，則會(huì)將僵尸程序注冊到命令和控制（C2）服務(wù)器并跳過掃描部分。

Whiffy Recon 主要功能

對于存在該服務(wù)的 Windows 系統(tǒng)，Whiffy Recon 會(huì)進(jìn)入每分鐘運(yùn)行一次的 WiFi 掃描循環(huán)，濫用 Windows WLAN API 來收集所需數(shù)據(jù)，并向 Google 的地理定位 API 發(fā)送包含 JSON 格式的 WiFi 接入點(diǎn)信息的 HTTPS POST 請求。

使用 Google 響應(yīng)中的坐標(biāo)，惡意軟件會(huì)制定有關(guān)接入點(diǎn)更完整的報(bào)告，包括其地理位置、加密方法、SSID，并將其作為 JSON POST 請求發(fā)送到攻擊者的 C2。

由于此過程每 60 秒發(fā)生一次，因此攻擊者可以幾乎實(shí)時(shí)對設(shè)備進(jìn)行跟蹤。

Secureworks的研究人員于 8 月 8 日發(fā)現(xiàn)了這種新型惡意軟件，并注意到惡意軟件在向 C2 發(fā)出的初始 POST 請求中使用的版本號是“1”，表明惡意軟件可能還會(huì)存在后續(xù)開發(fā)版本。