Ekrānuzņēmēja ļaunprātīga programmatūra

Ļaunprātīga programmatūra Ekrānuzņēmums ir jaunatklāts pēc pasūtījuma izveidots drauds, kas paredzēts novērošanai un datu zādzībai. Kibernoziedznieku grupa, kas ir aiz šī apdraudējuma, tiek izsekota kā TA886, un tā izmanto draudu rīku, lai mērķētu uz personām Amerikas Savienotajās Valstīs un Vācijā.

Pēc pētnieku domām, ļaunprogrammatūra Screenshotter ir izveidota, lai novērtētu iespējamos upurus pirms pilna mēroga uzbrukuma uzsākšanas. Tas ļauj TA886 noteikt, vai uzbrukuma iespējamā atdeve ir pūļu vērta. Ļaunprātīga programmatūra tver upura ierīces ekrānuzņēmumus, kurus pēc tam var izmantot, lai apkopotu informāciju par upura darbībām un vēlmēm.

Ļaunprātīgas programmatūras kampaņa Screenshotter pirmo reizi tika identificēta 2022. gada oktobrī, taču 2023. gadā tās aktivitāte ir ievērojami palielinājusies. Tas norāda uz nepārtrauktu ļaunprātīgas programmatūras attīstību un nepieciešamību personām saglabāt modrību un aktīvāk aizsargāt savas ierīces un personisko informāciju. Uzbrukuma operācijas, kas saistītas ar Screenshotter, kiberdrošības pētnieki grupē ar nosaukumu Screentime kampaņas.

Uzbrukuma kampaņa un infekcijas vektors, lai nodrošinātu ekrānuzņēmēja ļaunprātīgas programmatūras piegādi

Kibernoziedznieku mērķiem tiek nosūtīti pikšķerēšanas e-pasta ziņojumi. Uzbrucēji izmanto vairākus dažādus mānekļus, un viens piemērs ir pieprasījums pārbaudīt saistīto prezentāciju. Tomēr sniegtā saite ir apdraudēta un noved pie ieroča faila. Cietušie var saņemt pielikumu nedroša Microsoft Publisher faila (.pub) formā, saiti, kas ved uz .pub failiem ar bojātiem makro, vai piesārņotu PDF failu, kas pēc atvēršanas lejupielādē JavaScript failus. Inficēšanās ar ļaunprātīgu programmatūru tiek uzsākta, kad adresāts noklikšķina uz saitēm e-pastā.

Novērotajās Screentime kampaņās tika izmantota daudzpakāpju infekcijas ķēde. Lai nodrošinātu noturību bojātajās ierīcēs, TA886 apdraudējuma dalībnieki vispirms izvietoja lietderīgo kravu ar nosaukumu WasabiSeed. Šī krava kalpo kā balsts uzbrucējiem, lai pēc tam inficētu sistēmu ar Screenshotter ļaunprātīgu programmatūru.

Kad sistēma ir inficēta, Screenshotter ļaunprogrammatūra sāk uzņemt darbvirsmas ekrānuzņēmumus JPG attēla formātā un pārsūtīt tos kibernoziedzniekiem. Ekrānuzņēmumus pēc tam rūpīgi izskata apdraudējuma dalībnieki, kuri izmanto savākto informāciju, lai izlemtu turpmākās darbības.