W97M.Downloader

W97M.Downloader — это специализированная вредоносная программа-дроппер, которую киберпреступники используют в качестве механизма доставки полезной нагрузки на поздних стадиях. Угроза распространяется через рассылки спама по электронной почте, содержащие отравленные специально созданные документы Microsoft Word. Когда пользователи пытаются открыть файл, они запускают поврежденный макрос, который устанавливает соединение с несколькими удаленными серверами. Цель состоит в том, чтобы получить полезную нагрузку следующего этапа. Согласно выводам исследователей кибербезопасности, W97M.Downloader использовался для доставки угроз программ-вымогателей, таких как TeslaCrypt , а также банковских троянов, включая Vawtrak и Dridex .

В ходе более поздних операций злоумышленники установили дополнительные векторы заражения для W97M.Downloader. В частности, вредоносное ПО распространялось через скомпрометированные веб-сайты, на которых был установлен специальный дроппер PHP. Поврежденные веб-сайты заманивали жертв к загрузке и последующему выполнению скомпрометированного документа с W97M внутри него. Некоторые сценарии VB (Visual Basic) гарантируют, что соответствующая угроза вредоносного ПО будет доставлена на скомпрометированное устройство с управляющих серверов.

В дополнение к своим возможностям дроппера W97M.Downloader может заражать процессы Chrome и Firefox для внедрения определенного поврежденного кода в веб-страницы, открытые целью. Злоумышленники также могут использовать вредоносное ПО для сбора конфиденциальных данных, таких как учетные данные для финансовых и банковских приложений. Вся полученная информация затем эксфильтрируется на серверы управления операцией.