Cofense Intelligence 揭示了威胁行为者如何滥用 Windows 文件资源管理器和 WebDAV 服务器绕过浏览器安全措施,将远控木马推送到企业目标。
威胁行为者已经找到了一种无需通过网页浏览器,直接将恶意软件推送到企业机器的方法。Cofense Intelligence 于2026年2月25日发布的调查结果显示,一场利用 Windows 文件资源管理器内置连接远程 WebDAV 服务器能力的活跃攻击行动。这一策略完全绕过了标准浏览器下载警告。大多数用户根本不知道文件资源管理器可以连接到互联网服务器。
WebDAV 是一种基于 HTTP 的旧文件管理协议。如今很少有人使用它,但 Windows 仍然在文件资源管理器中原生支持,尽管微软在2023年11月已宣布弃用该功能。这一弃用与完全移除之间的空档,正是攻击者利用的空间。
根据 Cofense Intelligence 在其发布的报告中指出,相关活动首次出现在2024年2月,随后在2024年9月急剧增加。从那时起一直持续活跃。攻击未见减缓。87%的相关威胁报告中,最终载荷都包含多个远程访问木马(RAT)。XWorm RAT、Async RAT 和 DcRAT 最为常见。
必读: 加密安全漏洞:一月黑客事件总损失达8600万美元,钓鱼攻击激增
受害者会收到钓鱼邮件,通常伪装成德语发票。这些邮件携带 URL 快捷方式文件(.url)或 LNK 快捷方式文件(.lnk)。两者都能在文件资源管理器中悄无声息地打开 WebDAV 连接。用户看到的像是本地文件夹,但实际上并非如此。
更具破坏性的是随之而来的链式操作。脚本从不同的 WebDAV 服务器下载额外的脚本。合法文件与恶意文件混杂,模糊检测视线。当 RAT 最终到达时,整个传递路径已经过多层混淆。扫描浏览器下载的安全工具无法识别整个过程。
Cofense 的报告指出,受影响的活动中有50%为德语。英语活动占30%。意大利语和西班牙语占剩余部分。这一比例直接指向欧洲企业邮箱账户,作为主要目标。
你可能还感兴趣: npm Worm 盗取加密密钥,目标19个软件包
Cloudflare Tunnel 在此过程中发挥了重要作用。所有与此策略相关的威胁报告都使用 trycloudflare[.]com 上的免费演示账户托管恶意 WebDAV 服务器。Cloudflare 自身的基础设施负责路由受害者的连接,使流量在首次检测时看似合法。演示账户设计为短期使用,因此威胁行为者在行动开始后迅速将其撤下,切断取证分析。
这对持有数字资产的人来说尤为危险。像 XWorm 和 Async RAT 这样的木马能让攻击者持续远程访问感染的机器。这意味着剪贴板内容、浏览器会话、已保存的密码和加密钱包文件都在攻击者掌控之中。剪贴板劫持——一种已与数亿美元加密资产盗窃相关的方法——在 RAT 运行后变得极其容易。
仅钓鱼攻击的损失在2026年1月就超过3亿美元,安全追踪数据显示。这一数字远超同期的协议黑客损失。Cofense 记录的攻击手法直接推动了这一数字。通过 WebDAV 在财务团队员工的机器上投放 RAT,不仅是企业IT问题,更是钱包被清空、密钥被盗的直接通道。
你还应关注: 随着威胁增加,2026年加密钱包安全将成为首要任务
Cofense 的报告建议特别关注与 Cloudflare Tunnel 演示实例相关的网络流量。具备行为分析能力的端点检测与响应(EDR)工具应标记访问远程服务器的 .URL 和 .LNK 文件。更难的解决方案是用户教育。大多数人根本不知道文件资源管理器的地址栏像浏览器一样工作。
用检查可疑 URL 的方式检查地址栏,是第一道防线。类似的滥用还可能通过 FTP 和 SMB 协议实现。这两种协议在企业中都很常用,且都能连接到外部服务器。Cofense 所记录的攻击面远不止 WebDAV。
相关: 2025 年黑客攻击与安全事件:暴露加密货币脆弱环节的一年
完整的技术细节分析,包括 IOC 表和与特定威胁报告相关的 Cloudflare Tunnel 域名示例,已在 cofense.com 发布的 Cofense Intelligence 报告中提供。
