Screenshot Malware

Malware Screenshotter je nově objevená na zakázku vyrobená hrozba určená pro účely sledování a krádeže dat. Kybernetická skupina za touto hrozbou je sledována jako TA886 a pomocí tohoto nástroje se zaměřuje na jednotlivce ve Spojených státech a Německu.

Podle výzkumníků je malware Screenshotter vytvořen k vyhodnocení potenciálních obětí před zahájením útoku v plném rozsahu. To umožňuje TA886 určit, zda potenciální zisk z útoku stojí za námahu. Malware zachycuje snímky obrazovky zařízení oběti, které pak lze použít ke sběru informací o aktivitách a preferencích oběti.

Malwarová kampaň Screenshotter byla poprvé identifikována v říjnu 2022, ale její aktivita výrazně vzrostla v roce 2023. To zdůrazňuje pokračující vývoj malwaru a potřebu jednotlivců zůstat ostražití a proaktivní při ochraně svých zařízení a osobních údajů. Útočné operace zahrnující Screenshotter jsou seskupeny výzkumníky kybernetické bezpečnosti pod názvem Kampaně Screentime.

Útočná kampaň a vektor infekce pro doručení malwaru pro screenshoty

Cílem kyberzločinců jsou zasílané phishingové e-maily. Útočníci používají několik různých návnad, přičemž jedním příkladem je požadavek na kontrolu propojené prezentace. Poskytnutý odkaz je však kompromitován a vede k souboru se zbraněmi. Oběti mohou obdržet přílohu ve formě nebezpečného souboru Microsoft Publisher (.pub), odkazu, který vede na soubory .pub s poškozenými makry, nebo kontaminovaného PDF, který při otevření stahuje soubory JavaScript. Infekce malwarem je zahájena, když příjemce klikne na odkazy v e-mailu.

Kampaně Screentime, které byly pozorovány, využívaly vícefázový infekční řetězec. Aby byla zajištěna perzistence na narušených zařízeních, aktéři hrozby TA886 nejprve nasadili užitečné zatížení s názvem WasabiSeed. Toto užitečné zatížení slouží útočníkům jako opora k infikování systému malwarem Screenshotter.

Jakmile je systém infikován, malware Screenshotter začne pořizovat snímky obrazovky plochy ve formátu JPG a přenášet je kyberzločincům. Snímky obrazovky pak pečlivě kontrolují aktéři hrozeb, kteří na základě získaných informací rozhodují o svém dalším postupu.