W97M.Downloader

W97M.Downloader è una minaccia malware dropper dedicata che i criminali informatici utilizzano come meccanismo di consegna per i payload in fase avanzata. La minaccia si diffonde tramite campagne e-mail di spam che trasportano documenti Microsoft Word avvelenati appositamente predisposti. Quando gli utenti tentano di aprire il file, attivano una macro danneggiata che stabilisce una connessione a più server remoti. L'obiettivo è recuperare il carico utile della fase successiva. Secondo i risultati dei ricercatori di sicurezza informatica, W97M.Downloader è stato utilizzato per fornire minacce ransomware, come TeslaCrypt , oltre a trojan bancari tra cui Vawtrak e Dridex .

Nelle operazioni successive, i criminali informatici hanno stabilito ulteriori vettori di infezione per W97M.Downloader. Più specificamente, il malware veniva distribuito tramite siti Web compromessi che trasportavano un contagocce PHP personalizzato. I siti Web corrotti hanno indotto le vittime a scaricare e quindi eseguire un documento compromesso con W97M al suo interno. Alcuni script VB (Visual Basic) assicurano che la minaccia malware appropriata venga inviata al dispositivo compromesso dai server di controllo.

Oltre alle sue capacità di contagocce, W97M.Downloader può infettare i processi di Chrome e Firefox per iniettare codice danneggiato specifico nelle pagine Web aperte dal target. Gli aggressori possono anche utilizzare il malware per raccogliere dati sensibili, come le credenziali dell'account per applicazioni finanziarie e bancarie. Tutte le informazioni acquisite vengono quindi esfiltrate ai server di comando e controllo dell'operazione.