W97M.Downloader

W97M.Downloader on omistettu dropper-haittaohjelmauhka, jota verkkorikolliset käyttävät jakelumekanismina myöhäisen vaiheen hyötykuormille. Uhka leviää roskapostikampanjoiden kautta, jotka sisältävät myrkytettyjä erityisesti muotoiltuja Microsoft Word -asiakirjoja. Kun käyttäjät yrittävät avata tiedoston, he käynnistävät vioittun makron, joka muodostaa yhteyden useisiin etäpalvelimiin. Tavoitteena on hakea seuraavan vaiheen hyötykuorma. Kyberturvallisuustutkijoiden havaintojen mukaan W97M.Downloaderia on käytetty ransomware-uhkien, kuten TeslaCrypt , sekä pankkitroijalaisten, kuten Vawtrak ja Dridex , toimittamiseen.

Myöhemmissä operaatioissa kyberrikolliset perustivat lisäinfektiovektoreita W97M.Downloaderille. Tarkemmin sanottuna haittaohjelmaa levitettiin vaarantuneiden verkkosivustojen kautta, joissa oli mukautettu PHP-pisara. Vioittuneet verkkosivustot houkuttelivat uhrit lataamaan ja sitten suorittamaan vaarantuneen asiakirjan, jonka sisällä oli W97M. Tietyt VB (Visual Basic) -skriptit varmistavat, että asianmukainen haittaohjelmauhka toimitetaan vaarantuneeseen laitteeseen ohjauspalvelimista.

Tippatoimintojensa lisäksi W97M.Downloader voi tartuttaa Chrome- ja Firefox-prosesseja ruiskuttaakseen tiettyä vioittunutta koodia kohteen avaamille verkkosivuille. Hyökkääjät voivat myös käyttää haittaohjelmia arkaluontoisten tietojen, kuten talous- ja pankkisovellusten tilitietojen keräämiseen. Kaikki hankitut tiedot suodatetaan sitten toiminnan komento- ja ohjauspalvelimille.