近日，安全公司Cyble發(fā)布了一份關(guān)于勒索木馬Strela Stealer活動(dòng)情況的報(bào)告，揭示了該木馬近期針對(duì)歐洲中部和西南地區(qū)用戶(hù)的攻擊動(dòng)向。

報(bào)告指出，黑客利用群發(fā)虛假發(fā)票釣魚(yú)郵件的方式，誘導(dǎo)用戶(hù)下載并打開(kāi)含有Strela Stealer木馬的ZIP壓縮文件。一旦用戶(hù)執(zhí)行了這一操作，系統(tǒng)便會(huì)在后臺(tái)通過(guò)PowerShell命令自動(dòng)從黑客設(shè)置的WebDAV服務(wù)器下載該木馬。

這種通過(guò)WebDAV服務(wù)器下載惡意軟件的手法，被黑客采納的主要原因在于其能夠減少攻擊痕跡，從而提升攻擊的隱蔽性，降低被安全機(jī)構(gòu)偵測(cè)的風(fēng)險(xiǎn)。

Cyble公司還警告稱(chēng)，Strela Stealer木馬的信息竊取功能已得到強(qiáng)化。現(xiàn)在，它不僅能夠盜取用戶(hù)在郵件客戶(hù)端如Outlook中的敏感數(shù)據(jù)，還會(huì)搜索用戶(hù)的各種配置文件，以獲取包括賬號(hào)名稱(chēng)、密碼等在內(nèi)的多平臺(tái)登錄憑據(jù)。

利用WebDAV服務(wù)器進(jìn)行惡意活動(dòng)的趨勢(shì)在今年愈發(fā)明顯。除了Strela Stealer之外，今年4月份出現(xiàn)的Latrodectus木馬也采用了類(lèi)似的機(jī)制。在該木馬的攻擊中，受害者的計(jì)算機(jī)會(huì)通過(guò)黑客設(shè)置的WebDAV服務(wù)器下載MSI可執(zhí)行文件，為黑客進(jìn)一步操控設(shè)備提供便利。