W97M.Downloader

W97M.Downloader — це спеціальна загроза зловмисного програмного забезпечення, яку кіберзлочинці використовують як механізм доставки корисних даних на останній стадії. Загроза поширюється через спам-кампанії електронної пошти, що містять отруєні спеціально створені документи Microsoft Word. Коли користувачі намагаються відкрити файл, вони запускають пошкоджений макрос, який встановлює з’єднання з кількома віддаленими серверами. Мета — отримати корисне навантаження наступного етапу. Згідно з висновками дослідників кібербезпеки, W97M.Downloader використовувався для доставки загроз-вимагачів, таких як TeslaCrypt , а також банківських троянів, включаючи Vawtrak і Dridex .

Під час подальших операцій кіберзлочинці встановили додаткові вектори зараження для W97M.Downloader. Точніше, зловмисне програмне забезпечення розповсюджувалося через зламані веб-сайти, що мали спеціальну дроппер PHP. Пошкоджені веб-сайти спонукали жертв завантажити, а потім виконати скомпрометований документ із W97M всередині. Деякі сценарії VB (Visual Basic) забезпечують доставку відповідної загрози зловмисного програмного забезпечення на зламаний пристрій із серверів керування.

На додаток до своїх можливостей дроппер, W97M.Downloader може інфікувати процеси Chrome і Firefox, щоб ввести певний пошкоджений код у веб-сторінки, відкриті цільовою аудиторією. Зловмисники також можуть використовувати зловмисне програмне забезпечення для збору конфіденційних даних, таких як облікові дані для фінансових та банківських програм. Уся отримана інформація потім потрапляє на сервери командування та керування операцією.