W97M.Downloader Malware

W97M.Downloader er betegnelsen som ble gitt til et stykke skadelig programvare som ble aktivt distribuert i en kampanje som spredte bankprogramvare som var mest aktiv tidlig i 2016.

Den aktuelle skadevare bestod av et dokument som er skreddersydd for trusselaktørens formål. Det var en Microsoft Office-dokumentfil som var makroaktivert. Dette betyr at når filen åpnes, ber den om brukertillatelse til å utføre makroskriptene i den. Å tillate makrokjøring fører til at skriptet kobles til eksterne servere og henter filer fra dem.

Selv om det har gått en stund siden W97M-malwaren hadde sin storhetstid, har forskere oppdaget en gjenoppblomstring i bruken. Skadevaredropperen er funnet på flere plattformer for innholdsadministrasjonstjenester. Dropperen ble også brukt som en "bro" for til slutt å levere forskjellige løsepengevarestammer og løsepengevarevarianter for banker som tilhører Zeus-familien.

W97M spres også ved hjelp av ondsinnede spam-e-postkampanjer og har muligheten til å grave seg inn i prosessene til Chrome og Firefox, ved å injisere ondsinnet kode på sider som nettleseren har tilgang til.

Litt bekymringsfullt, ifølge et forskerteam med Sucuri, kan ikke den beste delen av anti-malware-applikasjoner oppdage PHP-koden som ble brukt av W97M.

June 22, 2022