Logiciel malveillant W97M.Downloader

W97M.Downloader est la désignation donnée à un logiciel malveillant qui a été activement distribué dans le cadre d'une campagne de diffusion de logiciels malveillants bancaires qui était la plus active au début de 2016.

Le malware en question comprenait un document qui a été conçu sur mesure pour les besoins de l'auteur de la menace. Il s'agissait d'un fichier de document Microsoft Office compatible avec les macros. Cela signifie qu'à l'ouverture du fichier, il demande l'autorisation de l'utilisateur pour exécuter les scripts de macro qu'il contient. Autoriser l'exécution de la macro conduit le script à se connecter à des serveurs distants et à en récupérer des fichiers.

Même si cela fait un moment que le malware W97M n'a pas connu son apogée, les chercheurs ont repéré une recrudescence de son utilisation. Le compte-gouttes de logiciels malveillants a été trouvé sur plusieurs plates-formes de services de gestion de contenu. Le compte-gouttes a également été utilisé comme "pont" pour finalement fournir différentes souches de ransomwares et variantes de ransomwares bancaires appartenant à la famille Zeus.

W97M se propage également à l'aide de campagnes de spam malveillantes et a la capacité de s'infiltrer dans les processus de Chrome et de Firefox, en injectant du code malveillant dans les pages accessibles par le navigateur.

De manière quelque peu inquiétante, selon une équipe de recherche de Sucuri, la plupart des applications anti-malware ne peuvent pas détecter le code PHP abandonné utilisé par W97M.

June 22, 2022