Zlonamjerni softver za snimanje zaslona

Zlonamjerni softver Screenshotter je novootkrivena prijetnja napravljena po narudžbi dizajnirana u svrhu nadzora i krađe podataka. Kibernetička kriminalna skupina koja stoji iza ove prijetnje prati se kao TA886, a koristi prijeteći alat za ciljanje pojedinaca u Sjedinjenim Državama i Njemačkoj.

Prema istraživačima, zlonamjerni softver Screenshotter stvoren je za procjenu potencijalnih žrtava prije pokretanja napada punog opsega. To omogućuje TA886 da utvrdi je li potencijalna dobit od napada vrijedna truda. Zlonamjerni softver snima snimke zaslona žrtvinog uređaja, koje se zatim mogu koristiti za prikupljanje informacija o žrtvinim aktivnostima i preferencijama.

Kampanja zlonamjernog softvera Screenshotter prvi je put identificirana u listopadu 2022., ali se njegova aktivnost znatno povećala 2023. To naglašava kontinuiranu evoluciju zlonamjernog softvera i potrebu da pojedinci ostanu oprezni i proaktivni u zaštiti svojih uređaja i osobnih podataka. Operacije napada koje uključuju Screenshotter istraživači kibernetičke sigurnosti grupiraju pod nazivom Screentime kampanje.

Kampanja napada i vektor infekcije za isporuku zlonamjernog softvera Screenshotter

Metama kibernetičkih kriminalaca šalju se phishing e-poruke. Napadači koriste nekoliko različitih mamaca, a jedan primjer je zahtjev za provjeru povezane prezentacije. Međutim, navedena veza je ugrožena i vodi do datoteke s oružjem. Žrtve mogu dobiti privitak u obliku nesigurne Microsoft Publisher datoteke (.pub), veze koja vodi do .pub datoteka s oštećenim makronaredbama ili kontaminiranog PDF-a koji preuzima JavaScript datoteke kada se otvori. Infekcija zlonamjernim softverom pokreće se kada primatelj klikne na poveznice u e-poruci.

Promatrane Screentime kampanje koristile su višefazni lanac infekcije. Kako bi osigurali postojanost na probijenim uređajima, akteri prijetnje TA886 prvo su postavili korisni teret pod nazivom WasabiSeed. Taj teret služi kao uporište za napadače da zatim zaraze sustav zlonamjernim softverom Screenshotter.

Nakon što je sustav zaražen, zlonamjerni softver Screenshotter počinje snimati snimke zaslona radne površine u JPG formatu slike i slati ih kibernetičkim kriminalcima. Snimke zaslona zatim pomno pregledavaju akteri prijetnji, koji koriste prikupljene informacije kako bi odlučili o svojim sljedećim potezima.