Cofense Intelligence 揭露威脅行為者如何濫用 Windows 檔案總管和 WebDAV 伺服器,以繞過瀏覽器安全性並向企業目標推送 RAT。
威脅行為者已找到一種方法,能直接將惡意軟體推送到企業電腦,而完全不經過網頁瀏覽器。Cofense Intelligence 於2026年2月25日發布的調查結果顯示,一個活躍的攻擊活動利用 Windows 檔案總管內建的連接遠端 WebDAV 伺服器的能力。這一策略完全避開了標準瀏覽器下載警告。大多數用戶根本不知道檔案總管可以連接到互聯網伺服器。
WebDAV 是一個較舊的基於 HTTP 的檔案管理協議。如今很少有人使用它,但 Windows 仍原生支援,儘管微軟在2023年11月已宣布棄用該功能。從棄用到完全移除的過渡期間,正是攻擊者利用的空隙。
根據 Cofense Intelligence 在其發布的報告中指出,該活動的規模首次出現在2024年2月,並在2024年9月急劇增加,此後一直持續活躍。攻擊未見減緩。87%的相關活動報告都涉及多個遠端存取木馬作為最終載荷。XWorm RAT、Async RAT 和 DcRAT 最常出現。
必讀: 加密安全漏洞:一月駭客攻擊總額達8600萬美元,釣魚攻擊激增
受害者會收到釣魚郵件,常偽裝成德語的發票。郵件中包含 URL 快捷方式檔案 (.url) 或 LNK 快捷方式檔案 (.lnk)。這兩者都能在檔案總管中悄悄打開 WebDAV 連接。用戶看到的像是本地資料夾,但實際上並非如此。
更具破壞性的是接下來的鏈條。腳本從不同的 WebDAV 伺服器下載額外的腳本。合法檔案與惡意檔案混合,模糊了偵測的界線。當 RAT 最終到達時,傳遞路徑已經經過多層混淆。掃描瀏覽器下載的安全工具無法捕捉整個過程。
Cofense 的報告指出,受影響的攻擊活動中有50%是用德語進行的,英文活動佔30%,其餘為義大利語和西班牙語。這一比例直接指向歐洲企業的電子郵件帳戶,作為主要目標。
你可能也感興趣: npm Worm竊取加密密鑰,目標19個套件
Cloudflare Tunnel 在此扮演重要角色。所有與此策略相關的活動都使用 trycloudflare[.]com 上的免費演示帳戶來托管惡意 WebDAV 伺服器。Cloudflare 自身的基礎設施會路由受害者的連接,使流量在首次檢查時看起來合法。這些演示帳戶設計為短期使用,因此攻擊者在活動結束後迅速將其撤下,切斷取證分析。
這裡的危險在於,像 XWorm 和 Async RAT 這樣的木馬能讓攻擊者持續遠端存取感染的機器。這意味著剪貼簿內容、瀏覽器會話、已儲存的密碼和加密錢包檔案都在攻擊者掌控範圍內。一旦 RAT 運行,剪貼簿劫持——一種已與數億美元加密資產被盜的手法——變得非常容易。
根據安全追蹤數據,僅在2026年1月,釣魚損失就超過3億美元。這一數字遠高於同期的協議駭客事件。Cofense 記錄的攻擊方法直接導入了這一數據流。通過 WebDAV 在金融團隊員工電腦上投放 RAT,不僅是企業IT問題,更是直接導致錢包被清空和密鑰被盜的途徑。
也值得關注: 隨著威脅增加,2026年加密錢包安全將成為首要任務
Cofense 建議專門搜尋連接 Cloudflare Tunnel 演示實例的網路流量。具行為分析能力的端點偵測與回應(EDR)工具應標記任何連接遠端伺服器的 .URL 和 .LNK 檔案。較難的解決方案是用戶教育。大多數人根本不知道檔案總管的地址列像瀏覽器一樣工作。
用檢查可疑 URL 的方法來檢查地址列,是第一道防線。類似的濫用也可能通過 FTP 和 SMB 協議實現。這兩種協議在企業中都很常用,且都能連接到外部伺服器。Cofense 所記錄的攻擊面比 WebDAV 更為廣泛。
相關: 2025年駭客攻擊與安全事件:揭露加密貨幣的最弱環節
完整的技術細節,包括 IOC 表格和與特定活躍威脅報告相關的 Cloudflare Tunnel 域名範例,請參閱 cofense.com 發布的 Cofense Intelligence 報告。
