近日,安全公司发布了一份关于最新勒索软件StrelaStealer的报告。据报道,黑客正在针对欧洲中部和西南地区的用户进行攻击,并使用带有木马的ZIP压缩文档的虚假发票进行钓鱼邮件推广。一旦受害者下载并打开相关ZIP文档,系统会自动运行PowerShell命令,从黑客设立的WebDAV服务器中下载恶意软件。
黑客选择让受害者设备直接通过WebDAV服务器下载恶意软件的原因是为了避免留下痕迹,从而降低被安全公司检测到的概率。
同时,安全公司表示,黑客对StrelaStealer勒索软件进行了升级,在新版本中,该木马不仅能够窃取用户在Outlook等邮件客户端中的信息,还能够搜索各种配置文件以获取更多用户的个人信息。今年早些时候,Latrodectus木马也采用了类似的原理来隐藏其行动踪迹。
今年以来,利用WebDAV服务器来隐藏痕迹已成为许多恶意软件所采用的一种常见手法。除了StrelaStealer之外,在今年四月发布的Latrodectus木马也利用了类似原理。一旦受害者电脑受感染,就会通过黑客设置的WebDAV服务器下载MSI可执行文件,以便黑客进一步控制受害者的设备。