W97M.Downloader Skadlig programvara

W97M.Downloader är beteckningen som ges till ett stycke skadlig programvara som aktivt distribuerades i en kampanj som spred bankskadlig programvara som var mest aktiv i början av 2016.

Skadlig programvara i fråga bestod av ett dokument som har skräddarsytts för hotaktörens syften. Det var en Microsoft Office-dokumentfil som var makroaktiverad. Detta innebär att när filen öppnas, begär den användartillstånd att köra makroskripten som finns i den. Att tillåta makrokörning leder till att skriptet ansluter till fjärrservrar och hämtar filer från dem.

Även om det har gått ett tag sedan W97M skadlig programvara hade sin storhetstid, har forskare sett en återuppgång i användningen. Skadlig programvara har hittats på flera plattformar för innehållshanteringstjänster. Droppern användes också som en "brygga" för att i slutändan leverera olika ransomware-stammar och bankvarianter ransomware som tillhör Zeus-familjen.

W97M sprids också med skadliga spam-e-postkampanjer och har förmågan att gräva ner sig i processerna i Chrome och Firefox och injicera skadlig kod på sidor som webbläsaren kommer åt.

Något oroande, enligt en forskargrupp med Sucuri, kan den bättre delen av anti-malware-applikationer inte upptäcka den PHP-tappade koden som används av W97M.

June 22, 2022