Ekrano kopijos kenkėjiška programa

Kenkėjiška programa „Screenshotter“ yra naujai atrasta pagal užsakymą sukurta grėsmė, skirta stebėjimui ir duomenų vagystei. Kibernetinių nusikaltėlių grupė, kuri slepia šią grėsmę, yra stebima kaip TA886 ir naudoja grasinimų įrankį, kad taikytųsi į asmenis Jungtinėse Valstijose ir Vokietijoje.

Tyrėjų teigimu, kenkėjiška programa „Screenshotter“ sukurta siekiant įvertinti galimas aukas prieš pradedant plataus masto ataką. Tai leidžia TA886 nustatyti, ar galimas atakos pelnas yra vertas pastangų. Kenkėjiška programa užfiksuoja aukos įrenginio ekrano kopijas, kurias vėliau galima naudoti renkant informaciją apie aukos veiklą ir pageidavimus.

Kenkėjiškų programų kampanija „Screenshotter“ pirmą kartą buvo nustatyta 2022 m. spalį, tačiau 2023 m. jos aktyvumas labai išaugo. Tai rodo nuolatinę kenkėjiškų programų raidą ir būtinybę asmenims išlikti budriems ir aktyviai apsaugoti savo įrenginius ir asmeninę informaciją. Atakos operacijas, susijusias su „Screenshotter“, kibernetinio saugumo tyrinėtojai grupuoja pavadinimu „Screentime kampanijos“.

Užpuolimo kampanija ir infekcijos vektorius, kad būtų pristatyta kenkėjiška programa „Screenshotter“.

Kibernetinių nusikaltėlių taikiniams siunčiami sukčiavimo el. laiškai. Užpuolikai naudoja keletą skirtingų jaukų, vienas pavyzdys yra prašymas patikrinti susietą pristatymą. Tačiau pateikta nuoroda yra pažeista ir veda į ginkluotą failą. Aukos gali gauti priedą kaip nesaugų „Microsoft Publisher“ failą (.pub), nuorodą, nukreipiančią į .pub failus su sugadintomis makrokomandomis, arba užterštą PDF failą, kuris atidarius atsisiunčia „JavaScript“ failus. Kenkėjiškų programų užkrėtimas inicijuojamas, kai gavėjas paspaudžia el. laiške esančias nuorodas.

Stebėtose „Screentime“ kampanijose buvo naudojama kelių etapų infekcijos grandinė. Siekdami užtikrinti patvarumą pažeistuose įrenginiuose, TA886 grėsmės veikėjai pirmiausia dislokavo naudingą krovinį pavadinimu WasabiSeed. Šis naudingas krovinys yra atrama užpuolikams užkrėsti sistemą „Screenshotter“ kenkėjiška programa.

Kai sistema yra užkrėsta, kenkėjiška programa „Screenshotter“ pradeda daryti darbalaukio ekrano kopijas JPG vaizdo formatu ir perduoti jas kibernetiniams nusikaltėliams. Tada ekrano kopijas kruopščiai peržiūri grėsmės veikėjai, kurie naudoja surinktą informaciją nuspręsdami dėl tolesnių veiksmų.