W97M.Downloader

W97M.Downloader és una amenaça de programari maliciós de comptabilitat dedicada que els ciberdelinqüents utilitzen com a mecanisme de lliurament de càrregues útils en fase avançada. L'amenaça es propaga mitjançant campanyes de correu brossa que porten documents de Microsoft Word enverinats especialment dissenyats. Quan els usuaris intenten obrir el fitxer, desencadenen una macro danyada que estableix una connexió amb diversos servidors remots. L'objectiu és aconseguir la càrrega útil de la següent etapa. Segons les conclusions dels investigadors de ciberseguretat, W97M.Downloader s'ha utilitzat per oferir amenaces de ransomware, com ara TeslaCrypt , així com troians bancaris com Vawtrak i Dridex .

En operacions posteriors, els cibercriminals van establir vectors d'infecció addicionals per a W97M.Downloader. Més concretament, el programari maliciós es distribuïa a través de llocs web compromesos que portaven un comptegotes PHP personalitzat. Els llocs web danyats van atraure a les víctimes perquè baixessin i executessin un document compromès amb W97M dins. Alguns scripts de VB (Visual Basic) asseguren que l'amenaça de programari maliciós adequada s'enviï al dispositiu compromès des dels servidors de control.

A més de les seves capacitats de comptagotes, W97M.Downloader pot infectar processos de Chrome i Firefox per injectar codi danyat específic a les pàgines web obertes per l'objectiu. Els atacants també poden utilitzar el programari maliciós per recollir dades sensibles, com ara credencials de compte per a aplicacions financeres i bancàries. Tota la informació adquirida s'exfiltra després als servidors de comandament i control de l'operació.