Screenshotter Malware

Screenshotter-malwaren er en nyopdaget skræddersyet trussel designet med henblik på overvågning og datatyveri. Den cyberkriminelle gruppe bag denne trussel spores som TA886, og den bruger det truende værktøj til at målrette mod enkeltpersoner i USA og Tyskland.

Ifølge forskere er Screenshotter-malwaren skabt for at evaluere de potentielle ofre, før et fuldskalaangreb lanceres. Dette giver TA886 mulighed for at afgøre, om det potentielle udbytte fra angrebet er besværet værd. Malwaren fanger skærmbilleder af ofrets enhed, som derefter kan bruges til at indsamle oplysninger om ofrets aktiviteter og præferencer.

Screenshotter-malwarekampagnen blev først identificeret i oktober 2022, men dens aktivitet er steget markant i 2023. Dette fremhæver den fortsatte udvikling af malware og behovet for, at enkeltpersoner forbliver på vagt og proaktive med at beskytte deres enheder og personlige oplysninger. Angrebsoperationerne, der involverer Screenshotter, bliver grupperet af cybersikkerhedsforskere under navnet Screentime-kampagner.

Angrebskampagne og infektionsvektor til levering af screenshotter-malwaren

Målene for de cyberkriminelle sendes phishing-e-mails. Angriberne bruger flere forskellige lokker, hvor et eksempel er en anmodning om at tjekke den tilknyttede præsentation. Det angivne link er dog kompromitteret og fører til en våbenfil. Ofrene kan modtage en vedhæftet fil i form af en usikker Microsoft Publisher-fil (.pub), et link, der fører til .pub-filer med korrupte makroer, eller en forurenet PDF, der downloader JavaScript-filer, når de åbnes. Malwareinfektionen påbegyndes, når modtageren klikker på linkene i e-mailen.

Screentime-kampagnerne, der blev observeret, anvendte en infektionskæde i flere stadier. For at sikre vedholdenhed på de brudte enheder, implementerede TA886-trusselsaktørerne først en nyttelast ved navn WasabiSeed. Denne nyttelast tjener som fodfæste for angriberne for derefter at inficere systemet med Screenshotter-malwaren.

Når først systemet er inficeret, begynder Screenshotter-malwaren at tage skærmbilleder af skrivebordet i JPG-billedformatet og sende dem til cyberkriminelle. Skærmbillederne bliver derefter omhyggeligt gennemgået af trusselsaktørerne, som bruger den indsamlede information til at beslutte deres næste træk.