W97M.Downloader

Το W97M.Downloader είναι μια αποκλειστική απειλή κακόβουλου λογισμικού με dropper που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου ως μηχανισμός παράδοσης για ωφέλιμα φορτία στο τελευταίο στάδιο. Η απειλή εξαπλώνεται μέσω καμπανιών spam email που μεταφέρουν δηλητηριασμένα ειδικά κατασκευασμένα έγγραφα του Microsoft Word. Όταν οι χρήστες επιχειρούν να ανοίξουν το αρχείο, ενεργοποιούν μια κατεστραμμένη μακροεντολή που δημιουργεί μια σύνδεση με πολλούς απομακρυσμένους διακομιστές. Ο στόχος είναι να φέρουμε το ωφέλιμο φορτίο του επόμενου σταδίου. Σύμφωνα με τα ευρήματα ερευνητών κυβερνοασφάλειας, το W97M.Downloader έχει χρησιμοποιηθεί για την παροχή απειλών ransomware, όπως το TeslaCrypt , καθώς και για τραπεζικά Trojans, συμπεριλαμβανομένων των Vawtrak και Dridex .

Σε μεταγενέστερες επιχειρήσεις, οι εγκληματίες του κυβερνοχώρου καθιέρωσαν πρόσθετους φορείς μόλυνσης για το W97M.Downloader. Πιο συγκεκριμένα, το κακόβουλο λογισμικό διανέμονταν μέσω παραβιασμένων ιστότοπων που έφεραν προσαρμοσμένο σταγονόμετρο PHP. Οι κατεστραμμένοι ιστότοποι παρέσυραν τα θύματα να κατεβάσουν και στη συνέχεια να εκτελέσουν ένα παραβιασμένο έγγραφο με το W97M μέσα σε αυτό. Ορισμένα σενάρια VB (Visual Basic) διασφαλίζουν ότι η κατάλληλη απειλή κακόβουλου λογισμικού παραδίδεται στη συσκευή που έχει παραβιαστεί από τους διακομιστές ελέγχου.

Εκτός από τις δυνατότητες σταγονόμετρου, το W97M.Downloader μπορεί να μολύνει τις διαδικασίες του Chrome και του Firefox για να εισάγει συγκεκριμένο κατεστραμμένο κώδικα στις ιστοσελίδες που ανοίγει ο στόχος. Οι εισβολείς μπορούν επίσης να χρησιμοποιήσουν το κακόβουλο λογισμικό για να συλλέξουν ευαίσθητα δεδομένα, όπως διαπιστευτήρια λογαριασμού για οικονομικές και τραπεζικές εφαρμογές. Στη συνέχεια, όλες οι ληφθείσες πληροφορίες διεκπεραιώνονται στους διακομιστές Command-and-Control της επιχείρησης.