W97M.Downloader Złośliwe oprogramowanie

W97M.Downloader to oznaczenie nadane złośliwemu oprogramowaniu, które było aktywnie rozpowszechniane w kampanii rozpowszechniającej szkodliwe oprogramowanie bankowe, która była najbardziej aktywna na początku 2016 roku.

Szkodliwe oprogramowanie, o którym mowa, zawierało dokument, który został dostosowany do potrzeb cyberprzestępcy. Był to plik dokumentu Microsoft Office z obsługą makr. Oznacza to, że po otwarciu pliku prosi użytkownika o pozwolenie na wykonanie zawartych w nim skryptów makr. Zezwolenie na wykonanie makra prowadzi do tego, że skrypt łączy się ze zdalnymi serwerami i pobiera z nich pliki.

Mimo że od świetności szkodliwego oprogramowania W97M minęło trochę czasu, badacze zauważyli ponowne jego użycie. Dropper złośliwego oprogramowania został znaleziony na kilku platformach usług zarządzania treścią. Dropper był również używany jako „pomost”, aby ostatecznie dostarczać różne odmiany oprogramowania ransomware i warianty bankowego oprogramowania ransomware należące do rodziny Zeus.

W97M jest również rozprzestrzeniany za pomocą złośliwych kampanii spamowych e-mail i ma możliwość zagłębienia się w procesy Chrome i Firefox, wstrzykując złośliwy kod do stron otwieranych przez przeglądarkę.

Nieco niepokojące, według zespołu badawczego z Sucuri, większa część aplikacji anty-malware nie może wykryć kodu PHP upuszczonego przez W97M.