W97M.Downloader
W97M.Downloader ist eine dedizierte Dropper-Malware-Bedrohung, die Cyberkriminelle als Bereitstellungsmechanismus für Payloads im Spätstadium verwenden. Die Bedrohung wird über Spam-E-Mail-Kampagnen verbreitet, die vergiftete, speziell gestaltete Microsoft Word-Dokumente enthalten. Wenn Benutzer versuchen, die Datei zu öffnen, lösen sie ein beschädigtes Makro aus, das eine Verbindung zu mehreren Remoteservern herstellt. Das Ziel besteht darin, die Nutzlast der nächsten Stufe abzurufen. Nach den Erkenntnissen von Cybersicherheitsforschern wurde W97M.Downloader verwendet, um Ransomware-Bedrohungen wie TeslaCrypt sowie Banking-Trojaner wie Vawtrak und Dridex zu verbreiten .
In späteren Operationen etablierten die Cyberkriminellen weitere Infektionsvektoren für W97M.Downloader. Genauer gesagt wurde die Malware über kompromittierte Websites verbreitet, die einen benutzerdefinierten PHP-Dropper enthielten. Die beschädigten Websites verleiteten die Opfer dazu, ein kompromittiertes Dokument mit W97M herunterzuladen und dann auszuführen. Bestimmte VB-Skripte (Visual Basic) stellen sicher, dass die entsprechende Malware-Bedrohung von den Kontrollservern an das kompromittierte Gerät gesendet wird.
Zusätzlich zu seinen Dropper-Fähigkeiten kann W97M.Downloader Chrome- und Firefox-Prozesse infizieren, um bestimmten beschädigten Code in die vom Ziel geöffneten Webseiten einzufügen. Die Angreifer können die Malware auch nutzen, um vertrauliche Daten wie Kontodaten für Finanz- und Bankanwendungen zu sammeln. Alle gewonnenen Informationen werden dann auf die Command-and-Control-Server der Operation exfiltriert.