近日,安全公司Cyble發(fā)布了一份關(guān)于勒索木馬Strela Stealer活動(dòng)情況的報(bào)告,揭示了該木馬近期針對(duì)歐洲中部和西南地區(qū)用戶的攻擊動(dòng)向。
報(bào)告指出,黑客利用群發(fā)虛假發(fā)票釣魚郵件的方式,誘導(dǎo)用戶下載并打開(kāi)含有Strela Stealer木馬的ZIP壓縮文件。一旦用戶執(zhí)行了這一操作,系統(tǒng)便會(huì)在后臺(tái)通過(guò)PowerShell命令自動(dòng)從黑客設(shè)置的WebDAV服務(wù)器下載該木馬。
這種通過(guò)WebDAV服務(wù)器下載惡意軟件的手法,被黑客采納的主要原因在于其能夠減少攻擊痕跡,從而提升攻擊的隱蔽性,降低被安全機(jī)構(gòu)偵測(cè)的風(fēng)險(xiǎn)。
Cyble公司還警告稱,Strela Stealer木馬的信息竊取功能已得到強(qiáng)化。現(xiàn)在,它不僅能夠盜取用戶在郵件客戶端如Outlook中的敏感數(shù)據(jù),還會(huì)搜索用戶的各種配置文件,以獲取包括賬號(hào)名稱、密碼等在內(nèi)的多平臺(tái)登錄憑據(jù)。
利用WebDAV服務(wù)器進(jìn)行惡意活動(dòng)的趨勢(shì)在今年愈發(fā)明顯。除了Strela Stealer之外,今年4月份出現(xiàn)的Latrodectus木馬也采用了類似的機(jī)制。在該木馬的攻擊中,受害者的計(jì)算機(jī)會(huì)通過(guò)黑客設(shè)置的WebDAV服務(wù)器下載MSI可執(zhí)行文件,為黑客進(jìn)一步操控設(shè)備提供便利。
