近日,安全公司Cyble發布了一份關于勒索木馬Strela Stealer活動情況的報告,揭示了該木馬近期針對歐洲中部和西南地區用戶的攻擊動向。
報告指出,黑客利用群發虛假發票釣魚郵件的方式,誘導用戶下載并打開含有Strela Stealer木馬的ZIP壓縮文件。一旦用戶執行了這一操作,系統便會在后臺通過PowerShell命令自動從黑客設置的WebDAV服務器下載該木馬。
這種通過WebDAV服務器下載惡意軟件的手法,被黑客采納的主要原因在于其能夠減少攻擊痕跡,從而提升攻擊的隱蔽性,降低被安全機構偵測的風險。
Cyble公司還警告稱,Strela Stealer木馬的信息竊取功能已得到強化。現在,它不僅能夠盜取用戶在郵件客戶端如Outlook中的敏感數據,還會搜索用戶的各種配置文件,以獲取包括賬號名稱、密碼等在內的多平臺登錄憑據。
利用WebDAV服務器進行惡意活動的趨勢在今年愈發明顯。除了Strela Stealer之外,今年4月份出現的Latrodectus木馬也采用了類似的機制。在該木馬的攻擊中,受害者的計算機會通過黑客設置的WebDAV服務器下載MSI可執行文件,為黑客進一步操控設備提供便利。
