Screenshotter-malware
De Screenshotter-malware is een nieuw ontdekte, op maat gemaakte dreiging die is ontworpen met het oog op bewaking en gegevensdiefstal. De cybercriminele groep achter deze dreiging wordt gevolgd als TA886 en gebruikt de dreigingstool om individuen in de Verenigde Staten en Duitsland te targeten.
Volgens onderzoekers is de Screenshotter-malware gemaakt om de potentiële slachtoffers te evalueren voordat een grootschalige aanval wordt uitgevoerd. Hierdoor kan TA886 bepalen of de potentiële beloning van de aanval de moeite waard is. De malware maakt screenshots van het apparaat van het slachtoffer, die vervolgens kunnen worden gebruikt om informatie te verzamelen over de activiteiten en voorkeuren van het slachtoffer.
De Screenshotter-malwarecampagne werd voor het eerst geïdentificeerd in oktober 2022, maar de activiteit ervan is aanzienlijk toegenomen in 2023. Dit benadrukt de voortdurende evolutie van malware en de noodzaak voor individuen om waakzaam en proactief te blijven bij het beschermen van hun apparaten en persoonlijke informatie. De aanvalsoperaties met Screenshotter worden door cybersecurity-onderzoekers gegroepeerd onder de naam Screentime-campagnes.
Aanvalscampagne en infectievector voor de levering van de Screenshotter-malware
De doelwitten van de cybercriminelen krijgen phishing-e-mails toegestuurd. De aanvallers gebruiken verschillende lokaas, met als voorbeeld een verzoek om de gekoppelde presentatie te controleren. De verstrekte link is echter gecompromitteerd en leidt naar een bewapend bestand. De slachtoffers kunnen een bijlage ontvangen in de vorm van een onveilig Microsoft Publisher-bestand (.pub), een link die leidt naar .pub-bestanden met beschadigde macro's, of een besmette pdf die bij het openen JavaScript-bestanden downloadt. De malware-infectie wordt geïnitieerd wanneer de ontvanger op de links in de e-mail klikt.
De Screentime-campagnes die werden waargenomen, maakten gebruik van een meertraps infectieketen. Om te zorgen voor persistentie op de geschonden apparaten, hebben de TA886-bedreigingsactoren eerst een payload met de naam WasabiSeed ingezet. Deze payload dient als houvast voor de aanvallers om vervolgens het systeem te infecteren met de Screenshotter-malware.
Zodra het systeem is geïnfecteerd, begint de Screenshotter-malware met het maken van screenshots van de desktop in de JPG-afbeeldingsindeling en verzendt deze naar de cybercriminelen. De screenshots worden vervolgens nauwgezet beoordeeld door de dreigingsactoren, die de verzamelde informatie gebruiken om hun volgende stappen te bepalen.
