Skjermdumper Malware

Screenshotter malware er en nyoppdaget skreddersydd trussel designet for overvåking og datatyveri. Den nettkriminelle gruppen bak denne trusselen spores som TA886, og den bruker trusselverktøyet for å målrette mot enkeltpersoner i USA og Tyskland.

Ifølge forskere er ondsinnet Screenshotter laget for å evaluere potensielle ofre før et fullskalaangrep lanseres. Dette lar TA886 avgjøre om den potensielle gevinsten fra angrepet er verdt innsatsen. Skadevaren fanger opp skjermbilder av offerets enhet, som deretter kan brukes til å samle informasjon om offerets aktiviteter og preferanser.

Malwarekampanjen Screenshotter ble først identifisert i oktober 2022, men aktiviteten har økt betydelig i 2023. Dette fremhever den fortsatte utviklingen av skadelig programvare og behovet for enkeltpersoner å være årvåkne og proaktive når det gjelder å beskytte enhetene og personlig informasjon. Angrepsoperasjonene som involverer Screenshotter blir gruppert av cybersikkerhetsforskere under navnet Screentime-kampanjer.

Angrepskampanje og infeksjonsvektor for levering av skjermdumper-malware

Målene til de nettkriminelle blir sendt phishing-e-post. Angriperne bruker flere forskjellige lokker, hvor ett eksempel er en forespørsel om å sjekke den koblede presentasjonen. Imidlertid er den oppgitte koblingen kompromittert og fører til en våpenfil. Ofrene kan motta et vedlegg i form av en usikker Microsoft Publisher-fil (.pub), en lenke som fører til .pub-filer med ødelagte makroer, eller en forurenset PDF som laster ned JavaScript-filer når de åpnes. Skadevareinfeksjonen startes når mottakeren klikker på koblingene i e-posten.

Screentime-kampanjene som ble observert brukte en flertrinns infeksjonskjede. For å sikre utholdenhet på de brutte enhetene, distribuerte TA886-trusselsaktørene først en nyttelast kalt WasabiSeed. Denne nyttelasten fungerer som et fotfeste for angriperne for deretter å infisere systemet med Screenshotter malware.

Når systemet er infisert, begynner Screenshotter-malwaren å ta skjermbilder av skrivebordet i JPG-bildeformatet og overføre dem til nettkriminelle. Skjermbildene blir deretter grundig gjennomgått av trusselaktørene, som bruker den innsamlede informasjonen til å bestemme deres neste trekk.