W97M.Downloader

W97M.Downloader Paglalarawan

Ang W97M.Downloader ay isang nakalaang pagbabanta ng dropper malware na ginagamit ng mga cybercriminal bilang mekanismo ng paghahatid para sa mga late-stage na payload. Ang banta ay kumakalat sa pamamagitan ng mga spam na kampanya sa email na may dalang lason na espesyal na ginawang mga dokumento ng Microsoft Word. Kapag sinubukan ng mga user na buksan ang file, nagti-trigger sila ng sirang macro na nagtatatag ng koneksyon sa maraming malalayong server. Ang layunin ay kunin ang susunod na yugto ng kargamento. Ayon sa mga natuklasan ng mga mananaliksik sa cybersecurity, ang W97M.Downloader ay ginamit upang maghatid ng mga banta sa ransomware, gaya ng TeslaCrypt , pati na rin ang mga Trojan sa pagbabangko kabilang ang Vawtrak at Dridex .

Sa mga susunod na operasyon, ang mga cybercriminal ay nagtatag ng karagdagang mga vector ng impeksyon para sa W97M.Downloader. Higit na partikular, ang malware ay ipinamamahagi sa pamamagitan ng mga nakompromisong website na may dalang custom na PHP dropper. Ang mga sirang website ay nag-akit ng mga biktima sa pag-download at pagkatapos ay isagawa ang isang nakompromisong dokumento na may W97M sa loob nito. Tinitiyak ng ilang partikular na VB (Visual Basic) na script na ang naaangkop na banta ng malware ay inihahatid sa nakompromisong device mula sa mga control server.

Bilang karagdagan sa mga kakayahan ng dropper nito, maaaring mahawahan ng W97M.Downloader ang mga proseso ng Chrome at Firefox upang mag-inject ng partikular na sirang code sa mga Web page na binuksan ng target. Magagamit din ng mga umaatake ang malware para kumuha ng sensitibong data, gaya ng mga kredensyal ng account para sa mga aplikasyon sa pananalapi at pagbabangko. Ang lahat ng nakuhang impormasyon ay pagkatapos ay i-exfiltrate sa Command-and-Control server ng operasyon.