W97M.Downloader
W97M.Downloader 是一种专用的 dropper 恶意软件威胁,网络犯罪分子将其用作后期有效负载的传递机制。该威胁通过垃圾邮件活动传播,其中包含受毒害的特制 Microsoft Word 文档。当用户尝试打开文件时,他们会触发一个损坏的宏,该宏会与多个远程服务器建立连接。目标是获取下一阶段的有效载荷。根据网络安全研究人员的调查结果,W97M.Downloader 已被用于传递勒索软件威胁,例如TeslaCrypt以及包括Vawtrak和Dridex在内的银行木马。
在后来的行动中,网络犯罪分子为 W97M.Downloader 建立了额外的感染媒介。更具体地说,恶意软件是通过带有自定义 PHP 下载器的受感染网站分发的。被破坏的网站引诱受害者下载并执行其中包含 W97M 的受感染文档。某些 VB (Visual Basic) 脚本可确保将适当的恶意软件威胁从控制服务器传送到受感染的设备。
除了释放器功能外,W97M.Downloader 还可以感染 Chrome 和 Firefox 进程,将特定的损坏代码注入目标打开的网页中。攻击者还可以利用恶意软件获取敏感数据,例如金融和银行应用程序的帐户凭据。然后,所有获取的信息都会被泄露到操作的命令和控制服务器。