Screenshotter-haittaohjelma
Screenshotter-haittaohjelma on äskettäin löydetty räätälöity uhka, joka on suunniteltu valvontaa ja tietovarkauksia varten. Tämän uhan takana oleva kyberrikollisryhmä jäljitetään nimellä TA886, ja se käyttää uhkaustyökalua kohdistaakseen henkilöitä Yhdysvalloissa ja Saksassa.
Tutkijoiden mukaan Screenshotter-haittaohjelma on luotu arvioimaan mahdollisia uhreja ennen täysimittaisen hyökkäyksen käynnistämistä. Tämän avulla TA886 voi määrittää, onko hyökkäyksen mahdollinen hyöty vaivan arvoinen. Haittaohjelma tallentaa kuvakaappauksia uhrin laitteesta, jonka avulla voidaan sitten kerätä tietoa uhrin toiminnasta ja mieltymyksistä.
Screenshotter-haittaohjelmakampanja tunnistettiin ensimmäisen kerran lokakuussa 2022, mutta sen aktiivisuus on lisääntynyt merkittävästi vuonna 2023. Tämä korostaa haittaohjelmien jatkuvaa kehitystä ja ihmisten tarvetta pysyä valppaina ja ennakoivasti suojella laitteitaan ja henkilökohtaisia tietojaan. Kyberturvallisuustutkijat ryhmittelevät Screenshotteriin liittyvät hyökkäysoperaatiot nimellä Screentime-kampanjat.
Hyökkäyskampanja ja tartuntavektori Screenshotter-haittaohjelman toimittamiseksi
Verkkorikollisten kohteille lähetetään tietojenkalasteluviestejä. Hyökkääjät käyttävät useita erilaisia vieheitä, joista yksi esimerkki on pyyntö tarkistaa linkitetty esitys. Annettu linkki on kuitenkin vaarantunut ja johtaa asetettuun tiedostoon. Uhrit voivat saada liitteen vaarallisen Microsoft Publisher -tiedoston (.pub) muodossa, linkin, joka johtaa .pub-tiedostoihin, joissa on vioittuneet makrot, tai saastuneen PDF-tiedoston, joka lataa JavaScript-tiedostoja avattaessa. Haittaohjelmatartunta käynnistyy, kun vastaanottaja napsauttaa sähköpostissa olevia linkkejä.
Havaituissa Screentime-kampanjoissa käytettiin monivaiheista infektioketjua. Rikkoutuneiden laitteiden pysyvyyden varmistamiseksi TA886-uhkatoimijat ottivat ensin käyttöön WasabiSeed-nimisen hyötykuorman. Tämä hyötykuorma toimii jalansijana hyökkääjille, jotka voivat sitten tartuttaa järjestelmän Screenshotter-haittaohjelmalla.
Kun järjestelmä on saanut tartunnan, Screenshotter-haittaohjelma alkaa ottaa kuvakaappauksia työpöydästä JPG-kuvamuodossa ja lähettää niitä verkkorikollisille. Uhkatoimijat tarkastelevat kuvakaappauksia huolellisesti ja käyttävät kerättyjä tietoja päättääkseen seuraavista toimenpiteistään.
