Captură de ecran Malware

Malware-ul Screenshotter este o amenințare personalizată recent descoperită, concepută în scopul supravegherii și furtului de date. Grupul cibernetic din spatele acestei amenințări este urmărit ca TA886 și folosește instrumentul de amenințare pentru a viza indivizi din Statele Unite și Germania.

Potrivit cercetătorilor, malware-ul Screenshotter este creat pentru a evalua potențialele victime înainte de a lansa un atac la scară largă. Acest lucru îi permite lui TA886 să determine dacă câștigul potențial al atacului merită efortul. Malware-ul captează capturi de ecran ale dispozitivului victimei, care pot fi apoi folosite pentru a colecta informații despre activitățile și preferințele victimei.

Campania de malware Screenshotter a fost identificată pentru prima dată în octombrie 2022, dar activitatea sa a crescut semnificativ în 2023. Acest lucru evidențiază evoluția continuă a malware-ului și necesitatea ca indivizii să rămână vigilenți și proactivi în protejarea dispozitivelor și a informațiilor personale. Operațiunile de atac care implică Screenshotter sunt grupate de cercetătorii în domeniul securității cibernetice sub denumirea de campanii Screentime.

Campanie de atac și vector de infecție pentru livrarea programului malware pentru captură de ecran

Țintele infractorilor cibernetici sunt trimise e-mailuri de tip phishing. Atacatorii folosesc mai multe naluci diferite, un exemplu fiind o solicitare de a verifica prezentarea legată. Cu toate acestea, linkul furnizat este compromis și duce la un fișier cu arme. Victimele pot primi un atașament sub forma unui fișier Microsoft Publisher nesigur (.pub), un link care duce la fișiere .pub cu macrocomenzi corupte sau un PDF contaminat care descarcă fișiere JavaScript atunci când este deschis. Infecția cu malware este inițiată atunci când destinatarul face clic pe linkurile din e-mail.

Campaniile Screentime care au fost observate au folosit un lanț de infecție în mai multe etape. Pentru a asigura persistența pe dispozitivele încălcate, actorii amenințărilor TA886 au implementat mai întâi o sarcină utilă numită WasabiSeed. Această sarcină utilă servește ca punct de sprijin pentru atacatori pentru a infecta apoi sistemul cu malware-ul Screenshotter.

Odată ce sistemul este infectat, malware-ul Screenshotter începe să facă capturi de ecran ale desktopului în formatul de imagine JPG și să le transmită infractorilor cibernetici. Capturile de ecran sunt apoi revizuite cu meticulozitate de către actorii amenințărilor, care folosesc informațiile colectate pentru a decide următoarele mișcări.