W97M.Downloader
W97M.Downloader este o amenințare dedicată programelor malware dropper pe care infractorii cibernetici o folosesc ca mecanism de livrare pentru încărcături utile în faza avansată. Amenințarea este răspândită prin campanii de e-mail de spam care poartă documente Microsoft Word otrăvite special create. Când utilizatorii încearcă să deschidă fișierul, declanșează o macrocomandă coruptă care stabilește o conexiune la mai multe servere la distanță. Scopul este de a prelua sarcina utilă din etapa următoare. Conform constatărilor cercetătorilor în domeniul securității cibernetice, W97M.Downloader a fost folosit pentru a furniza amenințări ransomware, cum ar fi TeslaCrypt , precum și troieni bancare, inclusiv Vawtrak și Dridex .
În operațiunile ulterioare, criminalii cibernetici au stabilit vectori de infecție suplimentari pentru W97M.Downloader. Mai precis, malware-ul a fost distribuit prin intermediul site-urilor web compromise care purtau un dropper PHP personalizat. Site-urile web corupte au atras victimele să descarce și apoi să execute un document compromis cu W97M în interior. Anumite scripturi VB (Visual Basic) asigură că amenințarea corespunzătoare a malware este livrată dispozitivului compromis de la serverele de control.
În plus față de capabilitățile sale dropper, W97M.Downloader poate infecta procesele Chrome și Firefox pentru a injecta cod corupt specific în paginile Web deschise de țintă. Atacatorii pot utiliza, de asemenea, malware-ul pentru a colecta date sensibile, cum ar fi acreditările de cont pentru aplicații financiare și bancare. Toate informațiile obținute sunt apoi exfiltrate către serverele de comandă și control ale operațiunii.