W97M.Downloader

W97M.Downloader es una amenaza de malware de cuentagotas dedicada que los ciberdelincuentes utilizan como mecanismo de entrega para las cargas útiles de última etapa. La amenaza se propaga a través de campañas de correo electrónico no deseado que contienen documentos de Microsoft Word envenenados especialmente diseñados. Cuando los usuarios intentan abrir el archivo, activan una macro dañada que establece una conexión con varios servidores remotos. El objetivo es obtener la carga útil de la siguiente etapa. Según los hallazgos de los investigadores de ciberseguridad, W97M.Downloader se ha utilizado para generar amenazas de ransomware, como TeslaCrypt , así como troyanos bancarios, incluidos Vawtrak y Dridex .

En operaciones posteriores, los ciberdelincuentes establecieron vectores de infección adicionales para W97M.Downloader. Más específicamente, el malware se distribuía a través de sitios web comprometidos que llevaban un cuentagotas de PHP personalizado. Los sitios web corruptos atraían a las víctimas para que descargaran y luego ejecutaran un documento comprometido que contenía W97M. Ciertos scripts de VB (Visual Basic) aseguran que la amenaza de malware adecuada se entregue al dispositivo comprometido desde los servidores de control.

Además de sus capacidades de cuentagotas, W97M.Downloader puede infectar los procesos de Chrome y Firefox para inyectar código corrupto específico en las páginas web abiertas por el objetivo. Los atacantes también pueden utilizar el malware para recopilar datos confidenciales, como credenciales de cuentas para aplicaciones financieras y bancarias. Toda la información adquirida luego se extrae a los servidores de Comando y Control de la operación.