Cibercriminosos estão explorando agressivamente um recurso legado do Windows File Explorer, combinado com o protocolo WebDAV, para distribuir malware de forma a contornar controles de segurança de navegadores web e detecção de endpoint. Um relatório de ameaças da equipe de inteligência da Cofense, liderada por Kahng An, detalha como os atores de ameaças enviam links maliciosos que forçam o Explorador de Arquivos a se conectar diretamente a servidores WebDAV remotos, mascarando a operação como um acesso a pastas de rede locais.
O vetor WebDAV
O WebDAV (Web-based Distributed Authoring and Versioning) é um protocolo de rede baseado em HTTP projetado para gerenciamento remoto de arquivos. A Microsoft depreciou oficialmente o suporte nativo ao WebDAV no Windows File Explorer em novembro de 2023, mas a funcionalidade permanece acessível na maioria dos sistemas. Os atacantes exploram esse suporte legado enviando links maliciosos que iniciam a conexão. Como essa conexão ignora completamente os navegadores web, as vítimas não recebem os avisos de segurança padrão ou prompts de download. O servidor remoto simplesmente aparece como uma pasta local, fazendo com que arquivos baixados pareçam seguros.
Métodos de entrega e evasão
Os atacantes empregam três métodos principais para entregar a carga maliciosa, frequentemente utilizando a palavra-chave específica DavWWWRoot para direcionar o diretório raiz de um servidor remoto:
- Linking Direto: Uso do esquema de URI
file://para abrir pastas remotas diretamente no gerenciador de arquivos. - Arquivos de Atalho de URL (.url): Estes arquivos utilizam caminhos UNC do Windows (ex.:
\\exampledomain[.]com@SSL\DavWWWRoot\) para acessar servidores remotos de forma invisível via HTTP/HTTPS. - Arquivos de Atalho LNK (.lnk): Estes atalhos contêm comandos ocultos que invocam o Prompt de Comando ou PowerShell para baixar e executar scripts maliciosos hospedados remotamente.
Uma peculiaridade técnica notável torna essa tática altamente evasiva: quando um usuário simplesmente abre um diretório local contendo um arquivo .url malicioso com um caminho UNC, o Windows automaticamente dispara uma consulta DNS, enviando um pacote TCP SYN para a infraestrutura do atacante e notificando-os de que o payload está ativo, mesmo que o usuário nunca tenha clicado no arquivo.
Campanhas, payloads e infraestrutura
Desde o final de 2024, o volume de campanhas usando esta técnica aumentou, com o objetivo principal de implantar Remote Access Trojans (RATs) como XWorm RAT, Async RAT e DcRAT para obter controle não autorizado do sistema. A Cofense observou que 87% dos Active Threat Reports (ATRs) associados a esta tática entregam múltiplos RATs. As campanhas têm como alvo predominante redes corporativas europeias, com cerca de 50% dos e-mails de phishing escritos em alemão.
Para mascarar sua infraestrutura, os atores de ameaças criam servidores WebDAV de curta duração usando contas de demonstração gratuitas do Cloudflare Tunnel hospedadas em domínios trycloudflare[.]com. Isso roteia o tráfego malicioso através da infraestrutura legítima da Cloudflare, complicando severamente os esforços de detecção antes que os servidores temporários sejam desativados.
Recomendações de defesa
Equipes de segurança devem monitorar atividade de rede incomum originada do Windows Explorer (processo explorer.exe) e educar os usuários para verificar a barra de endereços no File Explorer em busca de endereços IP ou domínios não familiares. Considerar a desabilitação completa do cliente WebDAV no Windows via Política de Grupo pode ser uma medida mitigadora eficaz para ambientes que não dependem do protocolo. Esta tática destaca um risco mais amplo, onde abusos semelhantes podem potencialmente envolver outros protocolos empresariais como FTP e SMB.