Κακόβουλο λογισμικό Screenshotter

Το κακόβουλο λογισμικό Screenshotter είναι μια νέα εξατομικευμένη απειλή που έχει σχεδιαστεί για σκοπούς παρακολούθησης και κλοπής δεδομένων. Η ομάδα εγκληματιών στον κυβερνοχώρο πίσω από αυτήν την απειλή παρακολουθείται ως TA886 και χρησιμοποιεί το απειλητικό εργαλείο για να στοχεύσει άτομα στις Ηνωμένες Πολιτείες και τη Γερμανία.

Σύμφωνα με τους ερευνητές, το κακόβουλο λογισμικό Screenshotter δημιουργήθηκε για να αξιολογήσει τα πιθανά θύματα πριν από την έναρξη μιας επίθεσης πλήρους κλίμακας. Αυτό επιτρέπει στο TA886 να καθορίσει εάν η πιθανή ανταμοιβή από την επίθεση αξίζει τον κόπο. Το κακόβουλο λογισμικό καταγράφει στιγμιότυπα οθόνης της συσκευής του θύματος, τα οποία στη συνέχεια μπορούν να χρησιμοποιηθούν για τη συλλογή πληροφοριών σχετικά με τις δραστηριότητες και τις προτιμήσεις του θύματος.

Η καμπάνια κακόβουλου λογισμικού Screenshotter εντοπίστηκε για πρώτη φορά τον Οκτώβριο του 2022, αλλά η δραστηριότητά της αυξήθηκε σημαντικά το 2023. Αυτό υπογραμμίζει τη συνεχή εξέλιξη του κακόβουλου λογισμικού και την ανάγκη τα άτομα να παραμείνουν σε εγρήγορση και να προστατεύουν τις συσκευές και τα προσωπικά τους στοιχεία. Οι επιχειρήσεις επίθεσης που περιλαμβάνουν το Screenshotter ομαδοποιούνται από ερευνητές κυβερνοασφάλειας με την ονομασία Screentime campaigns.

Καμπάνια επίθεσης και φορέας μόλυνσης για την παράδοση του κακόβουλου λογισμικού του Screenshotter

Οι στόχοι των εγκληματιών του κυβερνοχώρου αποστέλλονται ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος. Οι εισβολείς χρησιμοποιούν πολλά διαφορετικά δολώματα, με ένα παράδειγμα να είναι ένα αίτημα για έλεγχο της συνδεδεμένης παρουσίασης. Ωστόσο, ο παρεχόμενος σύνδεσμος έχει παραβιαστεί και οδηγεί σε ένα οπλισμένο αρχείο. Τα θύματα ενδέχεται να λάβουν ένα συνημμένο με τη μορφή ενός μη ασφαλούς αρχείου Microsoft Publisher (.pub), ενός συνδέσμου που οδηγεί σε αρχεία .pub με κατεστραμμένες μακροεντολές ή ενός μολυσμένου PDF που κατεβάζει αρχεία JavaScript όταν ανοίγει. Η μόλυνση από κακόβουλο λογισμικό ξεκινά όταν ο παραλήπτης κάνει κλικ στους συνδέσμους στο email.

Οι καμπάνιες Screentime που παρατηρήθηκαν χρησιμοποιούσαν μια αλυσίδα μόλυνσης πολλαπλών σταδίων. Για να διασφαλιστεί η επιμονή στις συσκευές που παραβιάστηκαν, οι παράγοντες απειλών TA886 ανέπτυξαν πρώτα ένα ωφέλιμο φορτίο με το όνομα WasabiSeed. Αυτό το ωφέλιμο φορτίο χρησιμεύει ως βάση για τους εισβολείς ώστε στη συνέχεια να μολύνουν το σύστημα με το κακόβουλο λογισμικό Screenshotter.

Μόλις το σύστημα μολυνθεί, το κακόβουλο λογισμικό Screenshotter αρχίζει να λαμβάνει στιγμιότυπα οθόνης της επιφάνειας εργασίας σε μορφή εικόνας JPG και να τα μεταδίδει στους εγκληματίες του κυβερνοχώρου. Στη συνέχεια, τα στιγμιότυπα οθόνης εξετάζονται σχολαστικά από τους παράγοντες της απειλής, οι οποίοι χρησιμοποιούν τις πληροφορίες που συλλέγονται για να αποφασίσουν τις επόμενες κινήσεις τους.