W97M.Downloader Malware

W97M.Downloader er betegnelsen for et stykke ondsindet software, der blev aktivt distribueret i en kampagne, der spredte bank-malware, som var mest aktiv i begyndelsen af 2016.

Den pågældende malware bestod af et dokument, der var skræddersyet til trusselsaktørens formål. Det var en Microsoft Office-dokumentfil, der var makroaktiveret. Det betyder, at den, når filen åbnes, anmoder om brugertilladelse til at udføre de makroscripts, der er indeholdt i den. At tillade makrokørsel fører til, at scriptet forbinder til fjernservere og henter filer fra dem.

Selvom det er et stykke tid siden, at W97M-malwaren havde sin storhedstid, har forskere set en genopblussen af brugen af den. Malware-dropperen er blevet fundet på flere platforme for indholdsstyringstjenester. Dropperen blev også brugt som en "bro" til i sidste ende at levere forskellige ransomware-stammer og bank-ransomware-varianter tilhørende Zeus-familien.

W97M spredes også ved hjælp af ondsindede spam-e-mail-kampagner og har evnen til at grave sig ned i processerne i Chrome og Firefox ved at injicere ondsindet kode på sider, som browseren har adgang til.

Noget bekymrende, ifølge et forskerhold med Sucuri, kan den bedste del af anti-malware-applikationer ikke registrere den PHP-tabte kode, der bruges af W97M.