W97M.Downloader

W97M.Downloader to dedykowane szkodliwe oprogramowanie typu dropper, które cyberprzestępcy wykorzystują jako mechanizm dostarczania ładunków na późnym etapie. Zagrożenie rozprzestrzenia się za pośrednictwem kampanii spamowych e-mail zawierających zatrute, specjalnie spreparowane dokumenty Microsoft Word. Gdy użytkownicy próbują otworzyć plik, uruchamiają uszkodzone makro, które nawiązuje połączenie z wieloma zdalnymi serwerami. Celem jest pobranie ładunku następnego etapu. Według ustaleń badaczy cyberbezpieczeństwa, W97M.Downloader był wykorzystywany do dostarczania zagrożeń ransomware, takich jak TeslaCrypt , a także trojanów bankowych, w tym Vawtrak i Dridex .

W późniejszych operacjach cyberprzestępcy utworzyli dodatkowe wektory infekcji dla W97M.Downloader. Mówiąc dokładniej, złośliwe oprogramowanie było rozpowszechniane za pośrednictwem zhakowanych witryn internetowych zawierających niestandardowy dropper PHP. Uszkodzone strony internetowe zwabiły ofiary do pobrania, a następnie wykonania zhakowanego dokumentu z wbudowanym W97M. Niektóre skrypty VB (Visual Basic) zapewniają, że odpowiednie zagrożenie złośliwym oprogramowaniem jest dostarczane do zaatakowanego urządzenia z serwerów kontrolnych.

Oprócz możliwości droppera, W97M.Downloader może infekować procesy Chrome i Firefox, aby wstrzyknąć określony uszkodzony kod do stron internetowych otwieranych przez cel. Osoby atakujące mogą również wykorzystać to złośliwe oprogramowanie do przechwytywania poufnych danych, takich jak dane uwierzytelniające konta do aplikacji finansowych i bankowych. Wszystkie zdobyte informacje są następnie eksfiltrowane na serwery Dowodzenia i Kontroli operacji.