Зловреден софтуер за скрийншотър

Зловреден софтуер Screenshotter е новооткрита заплаха, създадена по поръчка, предназначена за целите на наблюдение и кражба на данни. Киберпрестъпната група зад тази заплаха се проследява като TA886 и използва заплашителния инструмент за насочване към лица в Съединените щати и Германия.

Според изследователите злонамереният софтуер Screenshotter е създаден, за да оцени потенциалните жертви, преди да започне пълномащабна атака. Това позволява на TA886 да определи дали потенциалната печалба от атаката си струва усилието. Зловреден софтуер заснема екранни снимки на устройството на жертвата, които след това могат да се използват за събиране на информация за дейностите и предпочитанията на жертвата.

Кампанията за злонамерен софтуер Screenshotter беше идентифицирана за първи път през октомври 2022 г., но активността й се увеличи значително през 2023 г. Това подчертава продължаващото развитие на злонамерения софтуер и необходимостта хората да останат бдителни и проактивни в защитата на своите устройства и лична информация. Операциите за атака, включващи Screenshotter, се групират от изследователи по киберсигурност под името Screentime кампании.

Кампания за атака и вектор на заразяване за доставка на злонамерен софтуер за скрийншотър

Целите на киберпрестъпниците са изпратени фишинг имейли. Нападателите използват няколко различни примамки, като един пример е искане за проверка на свързаната презентация. Предоставената връзка обаче е компрометирана и води до вепонизиран файл. Жертвите могат да получат прикачен файл под формата на опасен файл на Microsoft Publisher (.pub), връзка, която води до .pub файлове с повредени макроси, или замърсен PDF файл, който изтегля JavaScript файлове при отваряне. Инфекцията със зловреден софтуер се инициира, когато получателят кликне върху връзките в имейла.

Кампаниите Screentime, които бяха наблюдавани, използваха многоетапна верига за заразяване. За да осигурят устойчивост на пробитите устройства, участниците в заплахата TA886 първо разположиха полезен товар, наречен WasabiSeed. Този полезен товар служи като опора за нападателите, за да заразят системата след това със зловреден софтуер Screenshotter.

След като системата бъде заразена, злонамереният софтуер Screenshotter започва да прави екранни снимки на работния плот във формат JPG изображение и да ги предава на киберпрестъпниците. След това екранните снимки се преглеждат щателно от участниците в заплахата, които използват събраната информация, за да решат следващите си ходове.