Złośliwe oprogramowanie do tworzenia zrzutów ekranu
Złośliwe oprogramowanie Screenshotter to nowo odkryte zagrożenie stworzone na zamówienie, zaprojektowane w celu inwigilacji i kradzieży danych. Grupa cyberprzestępcza stojąca za tym zagrożeniem jest śledzona jako TA886 i używa tego narzędzia do atakowania osób w Stanach Zjednoczonych i Niemczech.
Według badaczy złośliwe oprogramowanie Screenshotter jest tworzone w celu oceny potencjalnych ofiar przed rozpoczęciem ataku na pełną skalę. Pozwala to TA886 określić, czy potencjalna wypłata z ataku jest warta wysiłku. Złośliwe oprogramowanie przechwytuje zrzuty ekranu urządzenia ofiary, które następnie mogą zostać wykorzystane do zebrania informacji o działaniach i preferencjach ofiary.
Kampania złośliwego oprogramowania Screenshotter została po raz pierwszy zidentyfikowana w październiku 2022 r., ale jej aktywność znacznie wzrosła w 2023 r. Wskazuje to na ciągłą ewolucję złośliwego oprogramowania oraz potrzebę zachowania czujności i proaktywności w ochronie swoich urządzeń i danych osobowych. Operacje ataków z udziałem Screenshottera są grupowane przez badaczy cyberbezpieczeństwa pod nazwą Kampanie Screentime.
Kampania ataku i wektor infekcji w celu dostarczenia złośliwego oprogramowania Screenshotter
Celem cyberprzestępców są wysyłane e-maile phishingowe. Atakujący używają kilku różnych przynęt, a jednym z przykładów jest prośba o sprawdzenie połączonej prezentacji. Jednak podany link jest przejęty i prowadzi do uzbrojonego pliku. Ofiary mogą otrzymać załącznik w postaci niebezpiecznego pliku Microsoft Publisher (.pub), odsyłacza prowadzącego do plików .pub z uszkodzonymi makrami lub zanieczyszczonego pliku PDF, który po otwarciu pobiera pliki JavaScript. Infekcja złośliwym oprogramowaniem jest inicjowana, gdy odbiorca kliknie łącza w wiadomości e-mail.
Zaobserwowane kampanie Screentime wykorzystywały wieloetapowy łańcuch infekcji. Aby zapewnić trwałość na zaatakowanych urządzeniach, cyberprzestępcy TA886 najpierw wdrożyli ładunek o nazwie WasabiSeed. Ten ładunek służy jako punkt zaczepienia dla atakujących, aby następnie zainfekować system złośliwym oprogramowaniem Screenshotter.
Gdy system zostanie zainfekowany, szkodliwe oprogramowanie Screenshotter zaczyna robić zrzuty ekranu pulpitu w formacie obrazu JPG i przesyłać je do cyberprzestępców. Zrzuty ekranu są następnie skrupulatnie przeglądane przez cyberprzestępców, którzy wykorzystują zebrane informacje do podjęcia decyzji o dalszych działaniach.
