Programari maliciós de captura de pantalla
El programari maliciós Screenshotter és una amenaça personalitzada recentment descoberta i dissenyada per a la vigilància i el robatori de dades. El grup cibernètic que hi ha darrere d'aquesta amenaça es fa un seguiment com a TA886 i està utilitzant l'eina amenaçadora per apuntar persones als Estats Units i Alemanya.
Segons els investigadors, el programari maliciós Screenshotter es crea per avaluar les víctimes potencials abans de llançar un atac a gran escala. Això permet a TA886 determinar si el benefici potencial de l'atac val la pena l'esforç. El programari maliciós captura captures de pantalla del dispositiu de la víctima, que després es poden utilitzar per recopilar informació sobre les activitats i les preferències de la víctima.
La campanya de programari maliciós Captura de pantalla es va identificar per primera vegada l'octubre del 2022, però la seva activitat ha augmentat significativament el 2023. Això posa de manifest la contínua evolució del programari maliciós i la necessitat que les persones es mantinguin vigilants i proactives per protegir els seus dispositius i la seva informació personal. Els investigadors de ciberseguretat estan agrupant les operacions d'atac que involucren Screenshotter sota el nom de campanyes Screentime.
Campanya d'atac i vector d'infecció per al lliurament del programari maliciós de captura de pantalla
Els objectius dels ciberdelinqüents s'envien correus electrònics de pesca. Els atacants utilitzen diversos esquers diferents, amb un exemple una sol·licitud per comprovar la presentació enllaçada. Tanmateix, l'enllaç proporcionat està compromès i condueix a un fitxer armat. Les víctimes poden rebre un fitxer adjunt en forma d'un fitxer Microsoft Publisher (.pub) no segur, un enllaç que condueix a fitxers .pub amb macros danyades o un PDF contaminat que descarrega fitxers JavaScript quan s'obre. La infecció de programari maliciós s'inicia quan el destinatari fa clic als enllaços del correu electrònic.
Les campanyes de Screentime que es van observar van emprar una cadena d'infecció en diverses etapes. Per garantir la persistència dels dispositius trencats, els actors de l'amenaça TA886 van desplegar primer una càrrega útil anomenada WasabiSeed. Aquesta càrrega útil serveix com a punt de suport perquè els atacants infectin el sistema amb el programari maliciós de captura de pantalla.
Un cop infectat el sistema, el programari maliciós Screenshotter comença a fer captures de pantalla de l'escriptori en format d'imatge JPG i transmetre-les als ciberdelinqüents. Les captures de pantalla són revisades minuciosament pels actors de l'amenaça, que utilitzen la informació recopilada per decidir els seus propers moviments.
