W97M.Downloader

W97M.Downloader یک تهدید بدافزار dropper اختصاصی است که مجرمان سایبری از آن به‌عنوان مکانیزم تحویل برای بارهای آخری استفاده می‌کنند. این تهدید از طریق کمپین‌های ایمیل اسپم که اسناد مسموم شده مایکروسافت ورد را حمل می‌کنند، منتشر می‌شود. هنگامی که کاربران سعی می کنند فایل را باز کنند، یک ماکرو خراب را راه اندازی می کنند که با چندین سرور راه دور ارتباط برقرار می کند. هدف این است که محموله مرحله بعدی را دریافت کنید. بر اساس یافته‌های محققان امنیت سایبری، W97M.Downloader برای ارائه تهدیدات باج‌افزاری مانند TeslaCrypt و همچنین تروجان‌های بانکی از جمله Vawtrak و Dridex استفاده شده است.

در عملیات‌های بعدی، مجرمان سایبری حامل‌های عفونت اضافی را برای W97M.Downloader ایجاد کردند. به طور خاص تر، بدافزار از طریق وب سایت های در معرض خطر توزیع می شد که دارای یک قطره چکان PHP سفارشی بودند. وب سایت های خراب قربانیان را به دانلود و سپس اجرای یک سند در معرض خطر با W97M در داخل آن فریب دادند. برخی از اسکریپت های VB (Visual Basic) تضمین می کنند که تهدید بدافزار مناسب از سرورهای کنترلی به دستگاه در معرض خطر تحویل داده می شود.

W97M.Downloader علاوه بر قابلیت‌های قطره‌کن، می‌تواند فرآیندهای Chrome و Firefox را آلوده کند تا کد خراب خاص را به صفحات وب باز شده توسط هدف تزریق کند. مهاجمان همچنین می توانند از بدافزار برای جمع آوری داده های حساس مانند اعتبار حساب برای برنامه های مالی و بانکی استفاده کنند. سپس تمام اطلاعات به دست آمده به سرورهای Command-and-Control عملیات استخراج می شود.