恶意软件滥用WebDAV共享文件夹来隐匿行踪的做法,今年已有数起,例如:4月出现的恶意软件IcedID变种Latrodectus,攻击者从网页应用程序开发平台Firebase下载JavaScript文件,并于受害计算机执行,就会从WebDAV共享文件夹启动MSI安装文件,而能启动该恶意软件,如今类似的手法再度出现。
安全企业Cyble发现最新一波盗取信息软件Strela Stealer攻击行动,黑客锁定中欧及欧洲西南部地区,假借发票通知的名义发送钓鱼邮件。这些信件挟带ZIP附件文件,该压缩文件内置经重度混淆处理的JavaScript文件,黑客在其中埋藏了经Base64处理的PowerShell命令,一旦执行,就会从WebDAV服务器启动恶意酬载,从而窃取电子邮件配置的相关资讯,以及详细的系统资讯,使得攻击者能对受害计算机进行下个阶段的恶意行为。
为何攻击者直接从WebDAV服务器执行Strela Stealer?主要目的就是想避免在受害计算机留下恶意的DLL文件,想要躲过安全系统的侦测。
研究人员之所以发现这起攻击行动,起初是因为他们观察到一些以德文书写的钓鱼邮件,内容看起来像是购买商品的发票,黑客假借要进一步验证或是处理交易问题为由,引诱收信人打开附件ZIP文件,其中包含经高度混淆处理的JavaScript文件,若是收信人打开,计算机会通过内置的wscript执行,并启动内置的PowerShell命令,最终于受害计算机植入Strela Stealer。
特别的是,该盗取信息软件不光会窃取Outlook的数据,开源收信软件Thunderbird也是目标,并试图从计算机上寻找用户设置文件的logins.json和key4.db文件,而这些文件内置用户名、密码、电子邮件配置的详细资讯。
