11 月 8 日消息，安全公司 Cyble 發(fā)布報(bào)告公布了勒索木馬 Strela Stealer 的最新行蹤，近期相關(guān)黑客主要利用該木馬面向歐洲中部及西南地區(qū)的用戶發(fā)動(dòng)攻擊。

據(jù)悉，黑客主要群發(fā)帶有木馬 ZIP 壓縮文檔的虛假發(fā)票釣魚郵件，只要不知情的用戶下載打開(kāi)相關(guān) ZIP 文檔，系統(tǒng)便會(huì)通過(guò)系統(tǒng)內(nèi)置的 wscript 在后臺(tái)自動(dòng)運(yùn)行 PowerShell 命令，繼而從黑客架設(shè)的 WebDAV 服務(wù)器中下載 Strela Stealer 木馬。

黑客之所以選擇讓受害者設(shè)備直接通過(guò) WebDAV 服務(wù)器下載惡意軟件的原因是避免留下痕跡，從而降低被安全公司檢測(cè)到的概率。

安全公司同時(shí)表示，黑客升級(jí)了 Strela Stealer 勒索木馬的信息竊取能力，現(xiàn)在該木馬不僅會(huì)竊取用戶在 Outlook 等郵件客戶端中的信息，還會(huì)尋找用戶的各種配置文件以獲取用戶可能的各平臺(tái)賬號(hào)名稱、密碼等信息。

事實(shí)上，今年以來(lái)惡意木馬濫用 WebDAV 服務(wù)器來(lái)隱藏痕跡的手法屢見(jiàn)不鮮，除了 Strela Stealer 外，今年 4 月一款名為 Latrodectus 的木馬也是利用了相關(guān)原理，受害者的電腦在中招后便會(huì)通過(guò)黑客架設(shè)的 WebDAV 服務(wù)器下載 MSI 可執(zhí)行文件，便于黑客進(jìn)一步控制受害者設(shè)備。