WebDAV no Windows Explorer distribui malware furtivo

Cibercriminosos estão explorando um recurso legado do Windows File Explorer para distribuir malware, contornando totalmente as proteções de segurança dos navegadores e controles de detecção de endpoint. A tática, identificada pela Cofense, utiliza o protocolo WebDAV para fazer com que vítimas executem payloads maliciosos hospedados em servidores remotos que aparentam ser pastas locais seguras.

A exploração do protocolo legado

O WebDAV (Web-based Distributed Authoring and Versioning) é um protocolo HTTP antigo, projetado para gerenciamento remoto de arquivos. Apesar de a Microsoft ter descontinuado formalmente o suporte nativo no Windows Explorer em novembro de 2023, a funcionalidade permanece acessível na maioria dos sistemas. Os atacantes enviam links maliciosos que forçam o File Explorer a conectar-se diretamente a servidores WebDAV remotos, ignorando completamente o navegador e suas camadas de segurança. O servidor remoto é exibido como uma pasta local, fazendo com que os arquivos pareçam seguros e armazenados localmente.

Métodos de distribuição e evasão

Três métodos principais são utilizados para a entrega do exploit: links diretos usando o esquema file://, arquivos de atalho .url com caminhos UNC (como \exampledomain[.]com@SSL\DavWWWRoot) e atalhos .lnk que invocam comandos ocultos no PowerShell. Um aspecto técnico particularmente evasivo é que, ao abrir um diretório local contendo um arquivo .url malicioso, o Windows automaticamente dispara uma consulta DNS e envia um pacote TCP SYN à infraestrutura do atacante, notificando-os de que o payload está ativo mesmo sem qualquer clique do usuário.

Payloads e infraestrutura dos atacantes

Desde o final de 2024, o principal objetivo tem sido a implantação de Trojans de Acesso Remoto (RATs). A Cofense observou que 87% dos relatórios de ameaça ativa associados a esta tática entregam múltiplos RATs, com destaque para XWorm, AsyncRAT e DcRAT. As campanhas miram predominantemente redes corporativas europeias, com cerca de 50% dos e-mails de phishing escritos em alemão, disfarçados de documentos financeiros. Para mascarar sua infraestrutura, os criminosos criam servidores WebDAV de curta duração usando contas de demonstração gratuitas do Cloudflare Tunnel (trycloudflare[.]com), roteando tráfego malicioso através da infraestrutura legítima da Cloudflare e dificultando a detecção.

Indicadores de Comprometimento e Mitigações

A Cofense divulgou múltiplos domínios maliciosos associados às campanhas. Analistas de segurança devem monitorar atividades de rede incomuns originadas do Windows Explorer e educar usuários a verificar a barra de endereços no File Explorer em busca de endereços IP ou domínios desconhecidos. A tática expõe um risco mais amplo, já que abusos semelhantes podem envolver outros protocolos empresariais como FTP e SMB.