恶意软体滥用WebDAV共用资料夹来隐匿行踪的做法,今年已有数起,例如:,骇客锁定中欧及欧洲西南部地区,假借发票通知的名义寄送钓鱼邮件。这些信件挟带ZIP附件档案,该压缩档内含经重度混淆处理的JavaScript档案,骇客在其中埋藏了经Base64处理的PowerShell命令,一旦执行,就会从WebDAV伺服器启动恶意酬载,从而窃取电子邮件配置的相关资讯,以及详细的系统资讯,使得攻击者能对受害电脑进行下个阶段的恶意行为。
为何攻击者直接从WebDAV伺服器执行Strela Stealer?主要目的就是想避免在受害电脑留下恶意的DLL档案,想要躲过资安系统的侦测。
研究人员之所以察觉这起攻击行动,起初是因为他们观察到一些以德文书写的钓鱼邮件,内容看起来像是购买商品的发票,骇客假借要进一步验证或是处理交易问题为由,引诱收信人开启附件ZIP档,当中包含经高度混淆处理的JavaScript档案,若是收信人开启,电脑会透过内建的wscript执行,并启动内嵌的PowerShell命令,最终于受害电脑植入Strela Stealer。
特别的是,该窃资软体不光会窃取Outlook的资料,开源收信软体Thunderbird也是目标,并试图从电脑上寻找使用者设定档的logins.json和key4.db档案,而这些档案内含使用者名称、密码、电子邮件配置的详细资讯。