W97M.Downloader

W97M.Downloader 설명

W97M.Downloader는 사이버 범죄자들이 후기 페이로드의 전달 메커니즘으로 사용하는 전용 드로퍼 악성코드입니다. 위협은 특수 제작된 Microsoft Word 문서를 포함하는 스팸 이메일 캠페인을 통해 확산됩니다. 사용자가 파일을 열려고 하면 여러 원격 서버에 대한 연결을 설정하는 손상된 매크로가 실행됩니다. 목표는 다음 단계 페이로드를 가져오는 것입니다. 사이버 보안 연구원의 연구 결과에 따르면 W97M.Downloader는 TeslaCrypt 와 같은 랜섬웨어 위협과 VawtrakDridex 를 포함한 뱅킹 트로이 목마를 전달하는 데 사용되었습니다.

이후 작전에서 사이버 범죄자들은 W97M.Downloader에 대한 추가 감염 벡터를 설정했습니다. 보다 구체적으로, 악성코드는 맞춤형 PHP 드로퍼를 포함하는 손상된 웹사이트를 통해 배포되고 있었습니다. 손상된 웹사이트는 피해자가 W97M이 포함된 손상된 문서를 다운로드한 다음 실행하도록 유인했습니다. 특정 VB(Visual Basic) 스크립트는 적절한 맬웨어 위협이 제어 서버에서 손상된 장치로 전달되도록 합니다.

드로퍼 기능 외에도 W97M.Downloader는 Chrome 및 Firefox 프로세스를 감염시켜 대상이 연 웹 페이지에 특정 손상된 코드를 삽입할 수 있습니다. 공격자는 또한 맬웨어를 활용하여 금융 및 은행 애플리케이션의 계정 자격 증명과 같은 민감한 데이터를 수집할 수 있습니다. 획득한 모든 정보는 작전의 지휘 및 통제 서버로 유출됩니다.