W97M.Downloader

W97M.Downloader est une menace de malware dropper dédiée que les cybercriminels utilisent comme mécanisme de livraison pour les charges utiles de stade avancé. La menace se propage via des campagnes de courrier indésirable contenant des documents Microsoft Word empoisonnés spécialement conçus. Lorsque les utilisateurs tentent d'ouvrir le fichier, ils déclenchent une macro corrompue qui établit une connexion à plusieurs serveurs distants. L'objectif est de récupérer la charge utile de l'étape suivante. Selon les conclusions des chercheurs en cybersécurité, W97M.Downloader a été utilisé pour diffuser des menaces de ransomware, telles que TeslaCrypt , ainsi que des chevaux de Troie bancaires, notamment Vawtrak et Dridex .

Lors d'opérations ultérieures, les cybercriminels ont établi des vecteurs d'infection supplémentaires pour W97M.Downloader. Plus précisément, le logiciel malveillant était distribué via des sites Web compromis contenant un compte-gouttes PHP personnalisé. Les sites Web corrompus ont incité les victimes à télécharger puis à exécuter un document compromis contenant W97M. Certains scripts VB (Visual Basic) garantissent que la menace de logiciel malveillant appropriée est transmise à l'appareil compromis à partir des serveurs de contrôle.

En plus de ses capacités de compte-gouttes, W97M.Downloader peut infecter les processus Chrome et Firefox pour injecter du code corrompu spécifique dans les pages Web ouvertes par la cible. Les attaquants peuvent également utiliser le logiciel malveillant pour récolter des données sensibles, telles que les identifiants de compte pour les applications financières et bancaires. Toutes les informations acquises sont ensuite exfiltrées vers les serveurs de commandement et de contrôle de l'opération.