תוכנה זדונית של צילומי מסך

התוכנה הזדונית של Screenshotter היא איום חדש שהתגלה בהתאמה אישית שנועד למטרת מעקב וגניבת נתונים. קבוצת פושעי הסייבר שמאחורי האיום הזה נמצאת במעקב כ-TA886, והיא משתמשת בכלי המאיים כדי למקד אנשים בארצות הברית ובגרמניה.

לדברי חוקרים, תוכנת זדונית Screenshotter נוצרת כדי להעריך את הקורבנות הפוטנציאליים לפני שיגור מתקפה בקנה מידה מלא. זה מאפשר ל-TA886 לקבוע אם התמורה הפוטנציאלית מההתקפה שווה את המאמץ. התוכנה הזדונית לוכדת צילומי מסך של המכשיר של הקורבן, אשר לאחר מכן ניתן להשתמש בהם כדי לאסוף מידע על הפעילויות וההעדפות של הקורבן.

מסע הפרסום של תוכנות זדוניות Screenshotter זוהה לראשונה באוקטובר 2022, אך פעילותו גדלה באופן משמעותי בשנת 2023. הדבר מדגיש את המשך ההתפתחות של תוכנות זדוניות ואת הצורך של אנשים להישאר ערניים ויזומים בהגנה על המכשירים והמידע האישי שלהם. פעולות ההתקפה הכוללות Screenshotter מקובצות על ידי חוקרי אבטחת סייבר תחת השם Screentime campaigns.

קמפיין תקיפה ו-וקטור זיהום עבור אספקת תוכנת זדונית של צילומי מסך

המטרות של פושעי הסייבר נשלחות מיילים פישינג. התוקפים משתמשים במספר פתיונות שונים, כאשר דוגמה אחת היא בקשה לבדוק את המצגת המקושרת. עם זאת, הקישור שסופק נפרץ ומוביל לקובץ עם נשק. הקורבנות עשויים לקבל קובץ מצורף בצורה של קובץ Microsoft Publisher לא בטוח (.pub), קישור שמוביל לקובצי .pub עם פקודות מאקרו פגומות, או PDF מזוהם שמוריד קובצי JavaScript כאשר הם נפתחים. ההדבקה בתוכנה זדונית מתחילה כאשר הנמען לוחץ על הקישורים בדוא"ל.

הקמפיינים של זמן מסך שנצפו הפעילו שרשרת הדבקה רב-שלבית. כדי להבטיח התמדה במכשירים שנפרצו, שחקני האיומים של TA886 פרסו לראשונה מטען בשם WasabiSeed. מטען זה משמש כבסיס לתוקפים כדי להדביק את המערכת בתוכנה זדונית של Screenshotter.

לאחר שהמערכת נגועה, תוכנת זדונית Screenshotter מתחילה לצלם צילומי מסך של שולחן העבודה בפורמט תמונה JPG ולשדר אותם לפושעי הרשת. צילומי המסך נבדקים בקפדנות על ידי שחקני האיום, המשתמשים במידע שנאסף כדי להחליט על המהלכים הבאים שלהם.