W97M.Downloader

W97M.Downloader, siber suçluların geç aşama yükler için bir dağıtım mekanizması olarak kullandığı özel bir kötü amaçlı yazılım tehdididir. Tehdit, zehirli özel hazırlanmış Microsoft Word belgeleri taşıyan spam e-posta kampanyaları yoluyla yayılır. Kullanıcılar dosyayı açmaya çalıştığında, birden çok uzak sunucuyla bağlantı kuran bozuk bir makroyu tetiklerler. Amaç, bir sonraki aşama yükünü getirmektir. Siber güvenlik araştırmacılarının bulgularına göre, W97M.Downloader, TeslaCrypt gibi fidye yazılımı tehditlerinin yanı sıra Vawtrak ve Dridex dahil bankacılık Truva atları için kullanıldı .

Daha sonraki operasyonlarda, siber suçlular W97M.Downloader için ek enfeksiyon vektörleri oluşturdu. Daha spesifik olarak, kötü amaçlı yazılım, özel bir PHP damlalığı taşıyan güvenliği ihlal edilmiş web siteleri aracılığıyla dağıtılıyordu. Bozuk web siteleri, kurbanları, içinde W97M bulunan güvenliği ihlal edilmiş bir belgeyi indirmeye ve ardından yürütmeye yönlendirdi. Belirli VB (Visual Basic) komut dosyaları, uygun kötü amaçlı yazılım tehdidinin, kontrol sunucularından güvenliği ihlal edilmiş cihaza iletilmesini sağlar.

W97M.Downloader, damlalık özelliklerine ek olarak, hedef tarafından açılan Web sayfalarına belirli bozuk kodu enjekte etmek için Chrome ve Firefox işlemlerine bulaşabilir. Saldırganlar, finansal ve bankacılık uygulamaları için hesap kimlik bilgileri gibi hassas verileri toplamak için kötü amaçlı yazılımı da kullanabilir. Alınan tüm bilgiler daha sonra operasyonun Komuta ve Kontrol sunucularına aktarılır.