W97M.Downloaderマルウェア

W97M.Downloaderは、2016年初頭に最も活発だったバンキングマルウェアを拡散するキャンペーンで活発に配布された悪意のあるソフトウェアに付けられた名称です。

問題のマルウェアは、脅威アクターの目的に合わせて作成されたドキュメントで構成されていました。これは、マクロが有効になっているMicrosoftOfficeドキュメントファイルでした。これは、ファイルを開くときに、ファイルに含まれているマクロスクリプトを実行するためのユーザー権限を要求することを意味します。マクロの実行を許可すると、スクリプトがリモートサーバーに接続し、そこからファイルを取得します。

W97Mマルウェアが全盛期を迎えてからしばらく経ちましたが、研究者たちはその使用が復活していることに気づきました。マルウェアドロッパーは、いくつかのコンテンツ管理サービスプラットフォームで発見されています。ドロッパーは、Zeusファミリーに属するさまざまなランサムウェア株とバンキングランサムウェアの亜種を最終的に配信するための「ブリッジ」としても使用されました。

W97Mは、悪意のあるスパムメールキャンペーンを使用して拡散されており、ChromeとFirefoxのプロセスに潜入して、ブラウザがアクセスするページ内に悪意のあるコードを挿入する機能を備えています。

少し心配なことに、Sucuriの調査チームによると、マルウェア対策アプリケーションの大部分は、W97Mで使用されるPHPのドロップされたコードを検出できません。