Malware dello screenshot

Il malware Screenshotter è una minaccia su misura scoperta di recente progettata a scopo di sorveglianza e furto di dati. Il gruppo criminale informatico dietro questa minaccia è tracciato come TA886 e sta utilizzando lo strumento minaccioso per prendere di mira individui negli Stati Uniti e in Germania.

Secondo i ricercatori, il malware Screenshotter viene creato per valutare le potenziali vittime prima di lanciare un attacco su vasta scala. Ciò consente a TA886 di determinare se il potenziale guadagno dell'attacco vale lo sforzo. Il malware acquisisce schermate del dispositivo della vittima, che possono quindi essere utilizzate per raccogliere informazioni sulle attività e le preferenze della vittima.

La campagna malware Screenshotter è stata identificata per la prima volta nell'ottobre 2022, ma la sua attività è aumentata in modo significativo nel 2023. Ciò evidenzia la continua evoluzione del malware e la necessità per le persone di rimanere vigili e proattive nella protezione dei propri dispositivi e delle informazioni personali. Le operazioni di attacco che coinvolgono Screenshotter vengono raggruppate dai ricercatori di sicurezza informatica sotto il nome di campagne Screentime.

Campagna di attacco e vettore di infezione per la consegna del malware Screenshotter

Agli obiettivi dei criminali informatici vengono inviate e-mail di phishing. Gli aggressori utilizzano diverse esche, ad esempio una richiesta per controllare la presentazione collegata. Tuttavia, il collegamento fornito è compromesso e porta a un file armato. Le vittime possono ricevere un allegato sotto forma di un file Microsoft Publisher non sicuro (.pub), un collegamento che porta a file .pub con macro corrotte o un PDF contaminato che scarica i file JavaScript quando vengono aperti. L'infezione da malware viene avviata quando il destinatario fa clic sui collegamenti nell'e-mail.

Le campagne Screentime osservate hanno utilizzato una catena di infezione a più stadi. Per garantire la persistenza sui dispositivi violati, gli attori delle minacce TA886 hanno prima distribuito un payload denominato WasabiSeed. Questo payload funge da punto d'appoggio per gli aggressori per poi infettare il sistema con il malware Screenshotter.

Una volta che il sistema è stato infettato, il malware Screenshotter inizia a catturare schermate del desktop nel formato immagine JPG e a trasmetterle ai criminali informatici. Gli screenshot vengono poi meticolosamente rivisti dagli autori delle minacce, che utilizzano le informazioni raccolte per decidere le mosse successive.