W97M.Downloader-Malware

W97M.Downloader ist die Bezeichnung für eine bösartige Software, die aktiv im Rahmen einer Kampagne zur Verbreitung von Banking-Malware verteilt wurde, die Anfang 2016 am aktivsten war.

Bei der fraglichen Malware handelte es sich um ein Dokument, das für die Zwecke des Angreifers maßgeschneidert wurde. Es war eine Microsoft Office-Dokumentdatei, die Makros aktiviert hatte. Dies bedeutet, dass beim Öffnen der Datei die Benutzererlaubnis angefordert wird, um die darin enthaltenen Makroskripte auszuführen. Das Zulassen der Makroausführung führt dazu, dass das Skript eine Verbindung zu Remote-Servern herstellt und Dateien von ihnen abruft.

Obwohl es schon eine Weile her ist, dass die W97M-Malware ihre Blütezeit hatte, haben Forscher ein Wiederaufleben ihrer Verwendung festgestellt. Der Malware-Dropper wurde auf mehreren Plattformen für Content-Management-Dienste gefunden. Der Dropper wurde auch als „Brücke“ verwendet, um schließlich verschiedene Ransomware-Stämme und Banken-Ransomware-Varianten der Zeus-Familie bereitzustellen.

W97M wird auch über böswillige Spam-E-Mail-Kampagnen verbreitet und hat die Fähigkeit, sich in die Prozesse von Chrome und Firefox einzugraben und bösartigen Code in Seiten einzufügen, auf die der Browser zugreift.

Etwas besorgniserregend ist laut einem Forschungsteam von Sucuri, dass der Großteil der Anti-Malware-Anwendungen den von W97M verwendeten PHP-Code nicht erkennen kann.

June 22, 2022