스크린샷 맬웨어

Screenshotter 맬웨어는 감시 및 데이터 도난을 목적으로 설계된 새로 발견된 맞춤형 위협입니다. 이 위협의 배후에 있는 사이버 범죄 그룹은 TA886으로 추적되며 위협 도구를 사용하여 미국과 독일의 개인을 표적으로 삼고 있습니다.

연구원들에 따르면 Screenshotter 악성코드는 본격적인 공격을 시작하기 전에 잠재적인 피해자를 평가하기 위해 만들어졌습니다. 이를 통해 TA886은 공격의 잠재적 보상이 노력할 가치가 있는지 여부를 결정할 수 있습니다. 이 멀웨어는 피해자 장치의 스크린샷을 캡처하여 피해자의 활동 및 선호도에 대한 정보를 수집하는 데 사용할 수 있습니다.

Screenshotter 맬웨어 캠페인은 2022년 10월에 처음 발견되었지만 2023년에는 그 활동이 크게 증가했습니다. 이는 맬웨어의 지속적인 진화와 개인이 자신의 장치와 개인 정보를 보호하기 위해 경계하고 선제적으로 대처해야 할 필요성을 강조합니다. Screenshotter와 관련된 공격 작업은 Screentime 캠페인이라는 이름으로 사이버 보안 연구원에 의해 그룹화되고 있습니다.

Screenshotter 악성코드 전달을 위한 공격 캠페인 및 감염 벡터

사이버 범죄자의 목표는 피싱 이메일로 전송됩니다. 공격자는 링크된 프레젠테이션을 확인하라는 요청을 포함하여 여러 가지 미끼를 사용합니다. 그러나 제공된 링크가 손상되어 무기화된 파일로 연결됩니다. 피해자는 안전하지 않은 Microsoft Publisher 파일(.pub), 손상된 매크로가 있는 .pub 파일로 연결되는 링크 또는 열 때 JavaScript 파일을 다운로드하는 오염된 PDF 형식의 첨부 파일을 받을 수 있습니다. 수신자가 이메일의 링크를 클릭하면 맬웨어 감염이 시작됩니다.

관찰된 Screentime 캠페인은 다단계 감염 체인을 사용했습니다. 침해된 장치의 지속성을 보장하기 위해 TA886 공격자는 먼저 WasabiSeed라는 페이로드를 배포했습니다. 이 페이로드는 공격자가 Screenshotter 맬웨어로 시스템을 감염시키는 발판 역할을 합니다.

시스템이 감염되면 Screenshotter 맬웨어는 데스크탑의 스크린샷을 JPG 이미지 형식으로 캡처하여 사이버 범죄자에게 전송하기 시작합니다. 그런 다음 수집된 정보를 사용하여 다음 행동을 결정하는 위협 행위자가 스크린샷을 세심하게 검토합니다.