恶意软件滥用WebDAV共用文件夹来隐匿行踪的做法，今年已有数起，例如：4月出现的恶意软件IcedID变种Latrodectus，攻击者从网页应用程序开发平台Firebase下载JavaScript文件，并于受害电脑运行，就会从WebDAV共享文件夹启动MSI安装档，而能启动该恶意软件，如今类似的手法再度出现。

资安业者Cyble发现最新一波窃资软件Strela Stealer攻击行动，黑客锁定中欧及欧洲西南部地区，假借发票通知的名义寄送钓鱼邮件。这些信件挟带ZIP附件文件，该压缩档内含经重度混淆处理的JavaScript文件，黑客在其中埋藏了经Base64处理的PowerShell命令，一旦运行，就会从WebDAV服务器启动恶意酬载，从而窃取电子邮件配置的相关信息，以及详细的系统信息，使得攻击者能对受害电脑进行下个阶段的恶意行为。

为何攻击者直接从WebDAV服务器运行Strela Stealer？主要目的就是想避免在受害电脑留下恶意的DLL文件，想要躲过资安系统的侦测。

研究人员之所以察觉这起攻击行动，起初是因为他们观察到一些以德文书写的钓鱼邮件，内容看起来像是购买商品的发票，黑客假借要进一步验证或是处理交易问题为由，引诱收信人打开附件ZIP档，当中包含经高度混淆处理的JavaScript文件，若是收信人打开，电脑会通过内置的wscript运行，并启动内嵌的PowerShell命令，最终于受害电脑植入Strela Stealer。

特别的是，该窃资软件不光会窃取Outlook的数据，开源收信软件Thunderbird也是目标，并试图从电脑上寻找用户设置档的logins.json和key4.db文件，而这些文件内含用户名、密码、电子邮件配置的详细信息。