برنامج ضار في لقطة الشاشة
يعد برنامج Screenshotter الضار تهديدًا مخصصًا تم اكتشافه حديثًا ومصمم لغرض المراقبة وسرقة البيانات. يتم تعقب المجموعة الإلكترونية التي تقف وراء هذا التهديد باسم TA886 ، وهي تستخدم أداة التهديد لاستهداف الأفراد في الولايات المتحدة وألمانيا.
وفقًا للباحثين ، تم إنشاء برنامج Screenshotter الخبيث لتقييم الضحايا المحتملين قبل شن هجوم واسع النطاق. يسمح هذا لـ TA886 بتحديد ما إذا كانت المكاسب المحتملة من الهجوم تستحق الجهد المبذول. تلتقط البرامج الضارة لقطات شاشة لجهاز الضحية ، والتي يمكن استخدامها بعد ذلك لجمع معلومات حول أنشطة الضحية وتفضيلاتها.
تم تحديد حملة البرامج الضارة Screenshotter لأول مرة في أكتوبر 2022 ، ولكن نشاطها زاد بشكل كبير في عام 2023. وهذا يسلط الضوء على التطور المستمر للبرامج الضارة وضرورة أن يظل الأفراد يقظين واستباقيين في حماية أجهزتهم ومعلوماتهم الشخصية. يتم تجميع عمليات الهجوم التي تتضمن Screenshotter بواسطة باحثين في مجال الأمن السيبراني تحت اسم حملات Screentime.
حملة الهجوم وناقل العدوى لتسليم البرامج الضارة الخاصة ببرنامج Screenshotter
يتم إرسال رسائل التصيد الاحتيالي إلى أهداف مجرمي الإنترنت. يستخدم المهاجمون العديد من الإغراءات المختلفة ، على سبيل المثال طلب للتحقق من العرض المرتبط. ومع ذلك ، يتم اختراق الرابط المقدم ويؤدي إلى ملف مسلح. قد يتلقى الضحايا مرفقًا في شكل ملف Microsoft Publisher غير آمن (.pub) ، أو رابط يؤدي إلى ملفات .pub مع وحدات ماكرو تالفة ، أو ملف PDF ملوث يقوم بتنزيل ملفات JavaScript عند فتحه. تبدأ الإصابة بالبرامج الضارة عندما ينقر المستلم على الروابط الموجودة في البريد الإلكتروني.
استخدمت حملات Screentime التي تمت ملاحظتها سلسلة عدوى متعددة المراحل. لضمان الثبات على الأجهزة التي تم اختراقها ، قام ممثلو التهديد TA886 أولاً بنشر حمولة تسمى WasabiSeed. تُعد هذه الحمولة بمثابة موطئ قدم للمهاجمين لإصابة النظام ببرنامج Screenshotter الضار.
بمجرد إصابة النظام ، يبدأ برنامج Screenshotter الضار في التقاط لقطات شاشة لسطح المكتب بتنسيق صورة JPG وإرسالها إلى مجرمي الإنترنت. يتم بعد ذلك مراجعة لقطات الشاشة بدقة من قبل الجهات الفاعلة في التهديد ، الذين يستخدمون المعلومات التي تم جمعها لتحديد خطواتهم التالية.
