Screenshotter Malware

O Screenshotter Malware é uma ameaça personalizada recém-descoberta, projetada para fins de vigilância e roubo de dados. O grupo cibercriminoso por trás dessa ameaça é rastreado como TA886 e está usando a ferramenta ameaçadora para atingir indivíduos nos Estados Unidos e na Alemanha.

De acordo com os pesquisadores, o malware Screenshotter é criado para avaliar as vítimas em potencial antes de lançar um ataque em grande escala. Isso permite que o TA886 determine se o retorno potencial do ataque vale o esforço. O malware captura capturas de tela do dispositivo da vítima, que podem ser usadas para coletar informações sobre as atividades e preferências da vítima.

A campanha de malware Screenshotter foi identificada pela primeira vez em outubro de 2022, mas sua atividade aumentou significativamente em 2023. Isso destaca a evolução contínua do malware e a necessidade de os indivíduos permanecerem vigilantes e proativos na proteção de seus dispositivos e informações pessoais. As operações de ataque envolvendo Screenshotter estão sendo agrupadas por pesquisadores de segurança cibernética sob o nome de campanhas Screentime.

A Campanha de Ataque e o Vetor de Infecção para a Entrega do Screenshotter Malware

Os alvos dos cibercriminosos recebem e-mails de phishing. Os invasores usam várias iscas diferentes, sendo um exemplo uma solicitação para verificar a apresentação vinculada. No entanto, o link fornecido está comprometido e leva a um arquivo armado. As vítimas podem receber um anexo na forma de um arquivo inseguro do Microsoft Publisher (.pub), um link que leva a arquivos .pub com macros corrompidas ou um PDF contaminado que baixa arquivos JavaScript quando aberto. A infecção por malware é iniciada quando o destinatário clica nos links do e-mail.

As campanhas Screentime que foram observadas empregaram uma cadeia de infecção em vários estágios. Para garantir a persistência nos dispositivos violados, os agentes de ameaças TA886 primeiro implantaram uma carga chamada WasabiSeed. Essa carga útil serve como ponto de apoio para os invasores infectarem o sistema com o malware Screenshotter.

Depois que o sistema é infectado, o malware Screenshotter começa a fazer capturas de tela da área de trabalho no formato de imagem JPG e a transmiti-las aos cibercriminosos. As capturas de tela são meticulosamente revisadas pelos agentes da ameaça, que usam as informações coletadas para decidir seus próximos movimentos.