W97M.Downloader

W97M.Downloader is een speciale dropper-malwarebedreiging die cybercriminelen gebruiken als leveringsmechanisme voor late-stage payloads. De dreiging wordt verspreid via e-mailspamcampagnes met vergiftigde speciaal vervaardigde Microsoft Word-documenten. Wanneer gebruikers proberen het bestand te openen, activeren ze een beschadigde macro die een verbinding tot stand brengt met meerdere externe servers. Het doel is om de payload van de volgende fase te halen. Volgens de bevindingen van cybersecurity-onderzoekers is W97M.Downloader gebruikt om ransomware-bedreigingen te leveren, zoals TeslaCrypt , evenals banktrojans, waaronder Vawtrak en Dridex .

Bij latere operaties hebben de cybercriminelen aanvullende infectievectoren voor W97M.Downloader vastgesteld. Meer specifiek werd de malware verspreid via gecompromitteerde websites met een aangepaste PHP-dropper. De beschadigde websites lokten slachtoffers om een gecompromitteerd document te downloaden en vervolgens uit te voeren met daarin W97M. Bepaalde VB-scripts (Visual Basic) zorgen ervoor dat de juiste malwaredreiging wordt afgeleverd bij het besmette apparaat vanaf de controleservers.

Naast de dropper-mogelijkheden kan W97M.Downloader Chrome- en Firefox-processen infecteren om specifieke corrupte code te injecteren in de webpagina's die door het doelwit zijn geopend. De aanvallers kunnen de malware ook gebruiken om gevoelige gegevens te verzamelen, zoals accountgegevens voor financiële en banktoepassingen. Alle verkregen informatie wordt vervolgens geëxfiltreerd naar de Command-and-Control-servers van de operatie.