Screenshotter Malware

A Screenshotter malware egy újonnan felfedezett, egyedi fenyegetés, amelyet megfigyelési és adatlopás céljára terveztek. A fenyegetés mögött meghúzódó kiberbűnözői csoportot TA886-ként követik nyomon, és a fenyegető eszközzel az Egyesült Államokban és Németországban élő személyeket céloz meg.

A kutatók szerint a Screenshotter kártevőt azért hozták létre, hogy egy teljes körű támadást megelőzően értékeljék a potenciális áldozatokat. Ez lehetővé teszi a TA886 számára, hogy megállapítsa, megéri-e a támadásból származó potenciális nyereség. A rosszindulatú program képernyőképeket készít az áldozat eszközéről, amelyek segítségével információkat gyűjthet az áldozat tevékenységeiről és preferenciáiról.

A Screenshotter rosszindulatú programkampányt először 2022 októberében azonosították, de tevékenysége 2023-ban jelentősen megnőtt. Ez rávilágít a rosszindulatú programok folyamatos fejlődésére, valamint arra, hogy az egyéneknek ébernek és proaktívnak kell lenniük eszközeik és személyes adataik védelmében. A Screenshotterrel kapcsolatos támadási műveleteket a kiberbiztonsági kutatók Screentime kampányok néven csoportosítják.

Támadási kampány és fertőzés vektor a Screenshotter rosszindulatú program kézbesítéséért

A kiberbűnözők célpontjai adathalász e-maileket küldenek. A támadók több különböző csalit használnak, az egyik példa a linkelt bemutató ellenőrzésére irányuló kérés. A megadott hivatkozás azonban sérült, és fegyveres fájlhoz vezet. Az áldozatok mellékletet kaphatnak egy nem biztonságos Microsoft Publisher fájl (.pub), egy hivatkozás, amely sérült makróval rendelkező .pub fájlokhoz vezet, vagy egy szennyezett PDF, amely megnyitáskor letölti a JavaScript fájlokat. A rosszindulatú programfertőzés akkor indul el, amikor a címzett az e-mailben található hivatkozásokra kattint.

A megfigyelt Screentime kampányok többlépcsős fertőzési láncot alkalmaztak. A feltört eszközökön való tartósság biztosítása érdekében a TA886 fenyegetés szereplői először egy WasabiSeed nevű rakományt telepítettek. Ez a hasznos teher támpontként szolgál a támadók számára, hogy megfertőzzék a rendszert a Screenshotter kártevővel.

Miután a rendszer megfertőződött, a Screenshotter kártevő elkezd képernyőképeket készíteni az asztalról JPG képformátumban, és továbbítja azokat a kiberbűnözőknek. A képernyőképeket a fenyegetés szereplői alaposan átnézik, és az összegyűjtött információk alapján döntenek a következő lépéseikről.