研究人员公布勒索软件 Strela Stealer 最新行踪:利用 WebDAV 服务器传送恶意木马避免留痕
11 月 8 日消息,安全公司 Cyble 发布报告公布了勒索木马 Strela Stealer 的最新行踪,近期相关黑客主要利用该木马面向欧洲中部及西南地区的用户发动攻击。
据悉,黑客主要群发带有木马 ZIP 压缩文档的虚假发票钓鱼邮件,只要不知情的用户下载打开相关 ZIP 文档,系统便会通过系统内置的 wscript 在后台自动运行 PowerShell 命令,继而从黑客架设的 WebDAV 服务器中下载 Strela Stealer 木马。
参考报告获悉,黑客之所以选择让受害者设备直接通过 WebDAV 服务器下载恶意软件的原因是避免留下痕迹,从而降低被安全公司检测到的概率。
安全公司同时表示,黑客升级了 Strela Stealer 勒索木马的信息窃取能力,现在该木马不仅会窃取用户在 Outlook 等邮件客户端中的信息,还会寻找用户的各种配置文件以获取用户可能的各平台账号名称、密码等信息。
事实上,今年以来恶意木马滥用 WebDAV 服务器来隐藏痕迹的手法屡见不鲜,除了 Strela Stealer 外,今年 4 月一款名为 Latrodectus 的木马也是利用了相关原理,受害者的电脑在中招后便会通过黑客架设的 WebDAV 服务器下载 MSI 可执行文件,便于黑客进一步控制受害者设备。