W97M.Downloader

W97M.Downloader er en dedikert trussel mot skadelig programvare som cyberkriminelle bruker som en leveringsmekanisme for nyttelaster på sent stadium. Trusselen spres via spam-e-postkampanjer med forgiftede spesiallagde Microsoft Word-dokumenter. Når brukere prøver å åpne filen, utløser de en ødelagt makro som oppretter en tilkobling til flere eksterne servere. Målet er å hente nyttelasten i neste trinn. I følge funnene til cybersikkerhetsforskere har W97M.Downloader blitt brukt til å levere løsepengevaretrusler, som TeslaCrypt , samt banktrojanere inkludert Vawtrak og Dridex .

I senere operasjoner etablerte nettkriminelle ytterligere infeksjonsvektorer for W97M.Downloader. Mer spesifikt ble skadelig programvare distribuert via kompromitterte nettsteder som hadde en tilpasset PHP-dropper. De korrupte nettsidene lokket ofrene til å laste ned og deretter utføre et kompromittert dokument med W97M inni. Enkelte VB-skripter (Visual Basic) sikrer at riktig skadelig programvare-trussel leveres til den kompromitterte enheten fra kontrollserverne.

I tillegg til sine dropper-funksjoner, kan W97M.Downloader infisere Chrome- og Firefox-prosesser for å injisere spesifikk korrupt kode på nettsidene som åpnes av målet. Angriperne kan også bruke skadelig programvare for å samle inn sensitive data, for eksempel kontolegitimasjon for finans- og bankapplikasjoner. All innhentet informasjon blir deretter eksfiltrert til kommando-og-kontroll-serverne for operasjonen.