W97M.Downloader
W97M.Downloader یک تهدید بدافزار dropper اختصاصی است که مجرمان سایبری از آن بهعنوان مکانیزم تحویل برای بارهای آخری استفاده میکنند. این تهدید از طریق کمپینهای ایمیل اسپم که اسناد مسموم شده مایکروسافت ورد را حمل میکنند، منتشر میشود. هنگامی که کاربران سعی می کنند فایل را باز کنند، یک ماکرو خراب را راه اندازی می کنند که با چندین سرور راه دور ارتباط برقرار می کند. هدف این است که محموله مرحله بعدی را دریافت کنید. بر اساس یافتههای محققان امنیت سایبری، W97M.Downloader برای ارائه تهدیدات باجافزاری مانند TeslaCrypt و همچنین تروجانهای بانکی از جمله Vawtrak و Dridex استفاده شده است.
در عملیاتهای بعدی، مجرمان سایبری حاملهای عفونت اضافی را برای W97M.Downloader ایجاد کردند. به طور خاص تر، بدافزار از طریق وب سایت های در معرض خطر توزیع می شد که دارای یک قطره چکان PHP سفارشی بودند. وب سایت های خراب قربانیان را به دانلود و سپس اجرای یک سند در معرض خطر با W97M در داخل آن فریب دادند. برخی از اسکریپت های VB (Visual Basic) تضمین می کنند که تهدید بدافزار مناسب از سرورهای کنترلی به دستگاه در معرض خطر تحویل داده می شود.
W97M.Downloader علاوه بر قابلیتهای قطرهکن، میتواند فرآیندهای Chrome و Firefox را آلوده کند تا کد خراب خاص را به صفحات وب باز شده توسط هدف تزریق کند. مهاجمان همچنین می توانند از بدافزار برای جمع آوری داده های حساس مانند اعتبار حساب برای برنامه های مالی و بانکی استفاده کنند. سپس تمام اطلاعات به دست آمده به سرورهای Command-and-Control عملیات استخراج می شود.