Whiffy Recon 恶意软件

网络安全专家发现了一种名为 Whiffy Recon 的新型 Wi-Fi 扫描恶意软件。该威胁正在部署到已受到威胁的 Windows 计算机上。负责此次攻击行动的网络犯罪分子正在使用臭名昭著且具有威胁性的SmokeLoader软件作为 Whiffy Recon 的交付媒介。

这种新型恶意软件具有独特的功能。它每隔 60 秒执行一次确定受感染系统位置的过程。这是通过扫描附近的 Wi-Fi 接入点，使用收集到的数据作为查询 Google 地理定位 API 的参考点来实现的。随后，从 Google 的 Geolocation API 获取的位置信息被传输回该操作背后的恶意行为者。

Whiffy Recon 是一种高度专业化的威胁

Whiffy Recon 的运行方式是首先检查受感染系统上是否存在 WLAN 自动配置服务 (WLANSVC)。如果未找到服务名称，恶意软件将自行终止。但是，扫描仪不会验证该服务是否正在运行。

为了实现持久性，将创建一个快捷方式并将其添加到 Windows 启动文件夹中。

此外，该恶意软件还被配置为与远程命令与控制 (C2) 服务器建立连接。这是通过在 HTTP POST 请求中发送随机生成的“botID”来实现的。 C2 服务器以成功消息和唯一秘密标识符进行响应，然后将其存储在名为“%APPDATA%\Roaming\wlan\str-12.bin”的文件中。

攻击的下一阶段涉及使用 Windows WLAN API 每 60 秒扫描一次 Wi-Fi 接入点。然后，收集到的扫描结果会发送到 Google Geolocation API，以三角测量受感染系统的精确位置。然后，该信息以 JSON 字符串的形式传输到 C2 服务器。

研究人员很少观察到犯罪分子利用此类活动和能力的实例。虽然 Whiffy Recon 威胁缺乏作为独立功能快速货币化的直接潜力，但围绕其意图的不确定性令人不安。令人担忧的现实是，它可以被用来支持各种不安全的目标。

至于 SmokeLoader 威胁，顾名思义，该恶意软件主要充当加载程序。其唯一目的是将额外的有效负载投放到目标主机上。自 2014 年以来，俄罗斯的威胁行为者就可以购买该恶意软件。它通常通过网络钓鱼电子邮件传播。

制定针对恶意软件感染的措施至关重要

采取措施应对恶意软件感染至关重要。恶意软件或威胁软件对计算机系统、网络和数据的安全和功能构成重大威胁。这些威胁包括未经授权的访问、数据泄露、财务损失和关键运营中断。建立针对恶意软件的有效措施对于保护数字资产和维护系统的完整性至关重要。

• 定期软件更新：恶意软件经常利用操作系统和软件中的已知漏洞。通过添加安全补丁和更新来保持所有软件的更新对于关闭恶意软件的潜在入口点至关重要。
• 用户教育：许多恶意软件攻击通过网络钓鱼电子邮件或欺骗性下载等社会工程策略来瞄准用户。教育用户有关点击可疑链接、打开未知来源附件的风险以及养成安全浏览习惯可以显着降低感染风险。
• 访问控制和权限管理：限制用户权限和访问权限可以限制恶意软件的潜在影响。实施最小权限原则可确保用户只能访问其角色所需的资源，从而减少恶意软件的攻击面。
• 备份和恢复：定期备份重要数据和系统对于减轻勒索软件攻击的影响至关重要。如果发生感染，可以恢复干净的数据，防止数据丢失和勒索企图。
• 网络分段：对网络进行分段并将关键系统与安全性较低的系统隔离可以遏制恶意软件的传播。如果某个网段遭到破坏，恶意软件就更难横向移动并感染网络的其他部分。
• 持续监控：采用安全工具和实践进行持续监控有助于及早检测和预防恶意软件活动。可以及时识别异常和可疑行为，以便及时干预。
• 供应商和软件评估：在将第三方软件或服务集成到网络中之前，组织应评估其安全措施和声誉。这有助于防止通过受损软件无意中引入恶意软件。
• 协作和信息共享：随时了解最新的恶意软件趋势和攻击技术至关重要。与安全社区合作并共享威胁情报有助于主动防御不断演变的恶意软件威胁。

总之，制定针对恶意软件感染的措施对于保护数字资产、用户隐私和系统的整体功能至关重要。结合技术、用户教育和主动策略的多层方法对于有效减轻恶意软件带来的风险至关重要。