W97M.Downloader

W97M.Downloader là một mối đe dọa phần mềm độc hại nhỏ giọt chuyên dụng mà tội phạm mạng đang sử dụng làm cơ chế phân phối cho các tải trọng ở giai đoạn cuối. Mối đe dọa được lan truyền qua các chiến dịch email spam chứa các tài liệu Microsoft Word được chế tạo đặc biệt bị nhiễm độc. Khi người dùng cố gắng mở tệp, họ sẽ kích hoạt macro bị hỏng thiết lập kết nối với nhiều máy chủ từ xa. Mục tiêu là tìm nạp tải trọng ở giai đoạn tiếp theo. Theo phát hiện của các nhà nghiên cứu an ninh mạng, W97M.Downloader đã được sử dụng để cung cấp các mối đe dọa ransomware, chẳng hạn như TeslaCrypt , cũng như các Trojan ngân hàng bao gồm Vawtrak và Dridex .

Trong các hoạt động sau này, tội phạm mạng đã thiết lập thêm các vectơ lây nhiễm cho W97M.Downloader. Cụ thể hơn, phần mềm độc hại đã được phân phối thông qua các trang web bị xâm nhập mang theo một ống nhỏ giọt PHP tùy chỉnh. Các trang web bị lỗi đã dụ nạn nhân tải xuống và sau đó thực thi một tài liệu bị xâm nhập với W97M bên trong nó. Một số tập lệnh VB (Visual Basic) nhất định đảm bảo rằng mối đe dọa phần mềm độc hại thích hợp được phân phối đến thiết bị bị xâm nhập từ các máy chủ điều khiển.

Ngoài khả năng nhỏ giọt của nó, W97M.Downloader có thể lây nhiễm các quy trình của Chrome và Firefox để đưa mã bị hỏng cụ thể vào các trang web được mở bởi mục tiêu. Những kẻ tấn công cũng có thể sử dụng phần mềm độc hại để thu thập dữ liệu nhạy cảm, chẳng hạn như thông tin đăng nhập tài khoản cho các ứng dụng tài chính và ngân hàng. Tất cả thông tin thu được sau đó sẽ được chuyển đến các máy chủ Command-and-Control của hoạt động.