W97M.Downloader

W97M.Downloader Kirjeldus

W97M.Downloader on spetsiaalne ründevaraoht, mida küberkurjategijad kasutavad hilises staadiumis kasulike koormate edastamise mehhanismina. Oht levib rämpspostikampaaniate kaudu, mis kannavad mürgitatud spetsiaalselt koostatud Microsoft Wordi dokumente. Kui kasutajad üritavad faili avada, käivitavad nad rikutud makro, mis loob ühenduse mitme kaugserveriga. Eesmärk on hankida järgmise etapi kasulik koormus. Küberjulgeoleku teadlaste leidude kohaselt on W97M.Downloaderit kasutatud lunavaraohtude, nagu TeslaCrypt , ja pangandustroojalaste, sealhulgas Vawtrak ja Dridex , edastamiseks.

Hilisemate operatsioonide käigus kehtestasid küberkurjategijad W97M.Downloaderi jaoks täiendavad nakkusvektorid. Täpsemalt levitati pahavara ohustatud veebisaitide kaudu, millel oli kohandatud PHP tilguti. Rikutud veebisaidid meelitasid ohvreid alla laadima ja seejärel käivitama rikutud dokumenti, mille sees oli W97M. Teatud VB (Visual Basic) skriptid tagavad, et kontrollserveritest toimetatakse ohustatud seadmesse asjakohane pahavaraoht.

Lisaks tilgutamisvõimalustele võib W97M.Downloader nakatada Chrome'i ja Firefoxi protsesse, et sisestada sihtmärgi avatud veebilehtedele spetsiifiline rikutud kood. Ründajad saavad pahavara kasutada ka tundlike andmete, näiteks finants- ja pangandusrakenduste kontomandaatide kogumiseks. Seejärel eksfiltreeritakse kogu saadud teave operatsiooni käsu- ja juhtimisserveritesse.