‘Whiffy Recon’恶意软件每60秒传输设备位置

由SmokeLoader部署的Wi-Fi扫描恶意软件,可能被用于后续攻击或者物理攻击。
恶意软件攻击

SmokeLoader部署了一种Wi-Fi扫描恶意软件,名为“Whiffy Recon”,它能够在Windows系统上定位受害者。

“Whiffy Recon”这个名字源于欧洲和俄罗斯对Wi-Fi的发音(“wiffy”,而非美国式的“why fie”)。它在被感染的系统上搜索Wi-Fi卡或适配器,并每60秒扫描一次附近的Wi-Fi接入点。据Secureworks本周报告。

它通过将接入点数据输入谷歌地理定位API来三角测量受感染系统的位置,并将位置数据发送给攻击者。

利用地理位置数据进行后续攻击

Secureworks反威胁部门的威胁研究主管Rafe Pilling表示,虽然接入点的扫描间隔为60秒,但不清楚每个位置是否被存储,还是只有最近的位置被传输。

他说:“有可能一个携带有Whiffy Recon恶意软件的笔记本电脑的工作人员,在家和办公地点之间的行程可以被追踪或定位。”

GuidePoint安全研究和情报团队(GRIT)的首席分析师Drew Schmitt表示,对个人行动的洞察可能会建立行为或位置的模式,从而实现更精准的目标定位。

他说:“它可以用于跟踪属于特定组织、政府或其他实体的个人。当受感染的系统在敏感位置或特定时间时,攻击者可以根据位置或时间部署恶意软件。”

Tanium技术客户管理高级主管Shawn Surber指出,该报告没有指明一个特定的行业或部门作为主要目标,但他补充说,“这种数据可能对从事间谍、监视或物理定位的人很有价值。”

他还说,这可能表明国家支持或附属实体发起了这次活动。例如,据研究人员称,伊朗的APT35在最近一次活动中对以色列媒体目标进行了位置侦察,可能是为了潜在的物理攻击服务。

他解释说:“一些APT组织对间谍、监视和物理定位感兴趣,这通常受到他们所代表的国家的政治、经济或军事目标的驱动。

SmokeLoader:一个使得追踪和归因攻击者变得困难的恶意软件

Secureworks反威胁部门的威胁研究主管Rafe Pilling表示,虽然接入点的扫描间隔为60秒,但不清楚每个位置是否被存储,还是只有最近的位置被传输。

他说:“有可能一个携带有Whiffy Recon恶意软件的笔记本电脑的工作人员,在家和办公地点之间的行程可以被追踪或定位。”

GuidePoint安全研究和情报团队(GRIT)的首席分析师Drew Schmitt表示,对个人行动的洞察可能会建立行为或位置的模式,从而实现更精准的目标定位。

他说:“它可以用于跟踪属于特定组织、政府或其他实体的个人。当受感染的系统在敏感位置或特定时间时,攻击者可以根据位置或时间部署恶意软件。”

Tanium技术客户管理高级主管Shawn Surber指出,该报告没有指明一个特定的行业或部门作为主要目标,但他补充说,“这种数据可能对从事间谍、监视或物理定位的人很有价值。”

他还说,这可能表明国家支持或附属实体发起了这次活动。例如,据研究人员称,伊朗的APT35在最近一次活动中对以色列媒体目标进行了位置侦察,可能是为了潜在的物理攻击服务。

他解释说:“一些APT组织对间谍、监视和物理定位感兴趣,这通常受到他们所代表的国家的政治、经济或军事目标的驱动。

由于SmokeLoader感染是完全不加选择的,使用Whiffy Recon来收集地理位置数据可能是为了缩小和确定更精确的后续活动目标。

Schmitt说:“随着这个攻击序列继续展开,看看Whiffy Recon如何作为一个更大的后渗透链条的一部分将会很有趣。

推荐阅读:

身份不明的勒索软件瞄准中小企业和个人用户

北约调查暗网泄露的导弹供应商的数据

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20