W97M.Downloader Malware

W97M.Downloader is de aanduiding die wordt gegeven aan een stukje kwaadaardige software dat actief werd verspreid in een campagne die bankmalware verspreidde die begin 2016 het meest actief was.

De malware in kwestie bestond uit een document dat op maat is gemaakt voor de dreigingsactor. Het was een Microsoft Office-documentbestand dat was ingeschakeld voor macro's. Dit betekent dat het bij het openen van het bestand om toestemming van de gebruiker vraagt om de macroscripts die het bevat uit te voeren. Het toestaan van macro-uitvoering leidt ertoe dat het script verbinding maakt met externe servers en bestanden van hen overneemt.

Hoewel het een tijdje geleden is dat de W97M-malware zijn hoogtijdagen beleefde, hebben onderzoekers een opleving in het gebruik ervan opgemerkt. De malware-dropper is gevonden op verschillende platforms voor contentbeheerservices. De druppelaar werd ook gebruikt als een "brug" om uiteindelijk verschillende ransomware-soorten en bankransomware-varianten van de Zeus-familie te leveren.

W97M wordt ook verspreid via kwaadaardige spam-e-mailcampagnes en kan zich ingraven in de processen van Chrome en Firefox, waarbij kwaadaardige code wordt geïnjecteerd in pagina's die door de browser worden geopend.

Enigszins verontrustend, volgens een onderzoeksteam met Sucuri, kan het grootste deel van anti-malware-applicaties de PHP-drop-code die door W97M wordt gebruikt niet detecteren.