新的恶意软件组件可以使用Wi-Fi三角测量来确定PC的位置

一种已经存在了十多年的恶意软件有了一个新诀窍：能够三角定位受感染电脑的大致位置。

多年来，这种名为Smoke Loader的恶意软件一直在网络犯罪论坛上出售，并卖给了俄罗斯黑客。它通常被用来加载额外的恶意程序，这可以让攻击者劫持一台Windows PC。本月早些时候，Secureworks的安全研究人员发现，该恶意软件会丢弃一种名为“Whiffy Recon”的新的令人毛骨悚然的有效载荷。

Secureworks说：“每隔60秒，它就会扫描附近的Wi-Fi接入点，作为谷歌地理定位API的数据点，对受感染系统的位置进行三角定位。”“然后，谷歌的地理定位API返回的位置会被发回给对手。”

根据Secureworks的说法，Wi-Fi三角测量功能在黑客世界也是罕见的。Whiffy Recon可以三角定位个人电脑的位置，这要归功于谷歌地图的地理定位API，该API旨在为没有内置GPS的设备返回纬度和经度坐标。为了返回坐标，谷歌的API依赖于手机发射塔和Wi-Fi接入点的公开数据。

Whiffy Recon的确切目的尚不清楚。但Secure Works怀疑，了解到受感染电脑的大致位置可能会被用于恐吓策略，比如迫使受害者服从他们的要求。

Secureworks负责威胁情报的副总裁唐·史密斯在一封电子邮件中表示：“犯罪分子很少使用这种活动/能力。”作为一项独立的能力，它缺乏快速盈利的能力。这里的未知数令人担忧，而现实情况是，它可能被用来支持任何数量的邪恶动机。

SecureWorks补充说，它检测到了针对美国、英国、德国和法国用户的Smoke Loader。恶意软件通常可以通过钓鱼电子邮件计划到达。为了检测Whiffy Recon，SecureWorks指出，通过在用户的Startup文件夹中创建wlan.lnk快捷方式，恶意有效负载将在PC上持续存在。

“可以删除这些，以防止恶意软件在启动时运行。但请注意，没有办法跟踪和消除已经发送的数据。