新型恶意软件能利用WIFI定位设备地理位置
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
Secureworks的研究人员发现Smoke Loader僵尸网络使用名为Whiffy Recon的新恶意软件,通过WiFi扫描和Google地理定位API定位受感染设备。恶意软件滥用Windows WLAN API收集数据,并向Google地理定位API发送包含JSON格式的WiFi接入点信息的HTTPS POST请求。攻击者可实时跟踪设备。
🎯
关键要点
- Secureworks研究人员发现Smoke Loader僵尸网络使用新恶意软件Whiffy Recon。
- Whiffy Recon通过WiFi扫描和Google地理定位API定位受感染设备。
- Google地理定位API能返回设备的纬度和经度坐标,帮助攻击者定位没有GPS的设备。
- 恶意软件通过WiFi接入点数量进行三角测量,精度可达20米至50米。
- Whiffy Recon检查服务名称'WLANSVC',若不存在则注册到C2服务器并跳过扫描。
- 在存在该服务的Windows系统上,Whiffy Recon每分钟运行一次WiFi扫描,滥用Windows WLAN API收集数据。
- 恶意软件向Google地理定位API发送包含WiFi接入点信息的HTTPS POST请求。
- 使用Google响应中的坐标,恶意软件生成接入点的详细报告并发送给攻击者的C2。
- 该过程每60秒发生一次,攻击者几乎实时跟踪设备。
- Secureworks于8月8日发现该恶意软件,初始POST请求中版本号为'1',可能有后续开发版本。
➡️
