Документ Microsoft Word, в котором находилась новая разновидность вредоносного макроса Trojan Downloader:O97M/Donoff, был обнаружен исследователями из Microsoft Malware Protection Center. Чтобы файл выглядел безвредным, вредоносный код внутри него был замаскирован с применением новой техники.
В документе присутствовало семь VBA-модулей, а также пользовательская форма VBA, снабженная тремя кнопками управления. Модули имитировали легитимные SQL-программы, имеющие активную и якобы безобидную макрос-функцию. Эксперты тщательно проанализировали пользовательскую форму и обнаружили в поле Caption подозрительную строку с зашифрованным в ней URL, который ведет на веб-страницу с вымогательской программой Locky.
Вредоносные программы Donoff на протяжении уже нескольких лет распространяются в рамках спам-кампаний. Киберпреступники прибегают к различным методам социальной инженерии, чтобы вынудить своих жертв открыть вредоносные файлы, вложенные в письма. Подобно Bartallex, Dridex и иным аналогичным программам, Donoff представляет из себя загрузчик, используемый хакерами для заражения целевых систем другим вредоносным программным обеспечением.