研究人員公布勒索軟件 Strela Stealer 最新行蹤：利用 WebDAV 服務(wù)器傳送惡意木馬避免留痕

IT之家 11 月 8 日消息，安全公司 Cyble 發(fā)布報(bào)告公布了勒索木馬 Strela Stealer 的最新行蹤，近期相關(guān)黑客主要利用該木馬面向歐洲中部及西南地區(qū)的用戶發(fā)動攻擊。

據(jù)悉，黑客主要群發(fā)帶有木馬 ZIP 壓縮文檔的虛假發(fā)票釣魚郵件，只要不知情的用戶下載打開相關(guān) ZIP 文檔，系統(tǒng)便會通過系統(tǒng)內(nèi)置的 wscript 在后臺自動運(yùn)行 PowerShell 命令，繼而從黑客架設(shè)的 WebDAV 服務(wù)器中下載 Strela Stealer 木馬。

IT之家參考報(bào)告獲悉，黑客之所以選擇讓受害者設(shè)備直接通過 WebDAV 服務(wù)器下載惡意軟件的原因是避免留下痕跡，從而降低被安全公司檢測到的概率。

安全公司同時表示，黑客升級了 Strela Stealer 勒索木馬的信息竊取能力，現(xiàn)在該木馬不僅會竊取用戶在 Outlook 等郵件客戶端中的信息，還會尋找用戶的各種配置文件以獲取用戶可能的各平臺賬號名稱、密碼等信息。

事實(shí)上，今年以來惡意木馬濫用 WebDAV 服務(wù)器來隱藏痕跡的手法屢見不鮮，除了 Strela Stealer 外，今年 4 月一款名為 Latrodectus 的木馬也是利用了相關(guān)原理，受害者的電腦在中招后便會通過黑客架設(shè)的 WebDAV 服務(wù)器下載 MSI 可執(zhí)行文件，便于黑客進(jìn)一步控制受害者設(shè)備。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。