W97M.Downloader

W97M.Downloader er en dedikeret dropper-malwaretrussel, som cyberkriminelle bruger som en leveringsmekanisme til nyttelast i de sene stadier. Truslen spredes via spam-e-mail-kampagner med forgiftede specialfremstillede Microsoft Word-dokumenter. Når brugere forsøger at åbne filen, udløser de en beskadiget makro, der etablerer en forbindelse til flere fjernservere. Målet er at hente næste trins nyttelast. Ifølge resultaterne af cybersikkerhedsforskere er W97M.Downloader blevet brugt til at levere ransomware-trusler, såsom TeslaCrypt , såvel som banktrojanske heste inklusive Vawtrak og Dridex .

I senere operationer etablerede cyberkriminelle yderligere infektionsvektorer til W97M.Downloader. Mere specifikt blev malwaren distribueret via kompromitterede websteder med en tilpasset PHP-dropper. De korrupte websteder lokkede ofre til at downloade og derefter udføre et kompromitteret dokument med W97M indeni. Visse VB-scripts (Visual Basic) sikrer, at den relevante malwaretrussel leveres til den kompromitterede enhed fra kontrolserverne.

Ud over dets dropper-funktioner kan W97M.Downloader inficere Chrome- og Firefox-processer for at injicere specifik korrupt kode på de websider, der åbnes af målet. Angriberne kan også bruge malwaren til at høste følsomme data, såsom kontolegitimationsoplysninger til finans- og bankapplikationer. Al erhvervet information eksfiltreres derefter til operationens Command-and-Control-servere.