Вредоносное ПО для скриншотов

Вредоносное ПО Screenshotter — это недавно обнаруженная заказная угроза, предназначенная для слежки и кражи данных. Киберпреступная группа, стоящая за этой угрозой, отслеживается как TA886 и использует инструмент угроз для нападения на людей в США и Германии.

По словам исследователей, вредоносное ПО Screenshotter создано для оценки потенциальных жертв перед началом полномасштабной атаки. Это позволяет TA886 определить, стоит ли затраченных усилий потенциальный выигрыш от атаки. Вредоносное ПО делает снимки экрана устройства жертвы, которые затем можно использовать для сбора информации о действиях и предпочтениях жертвы.

Кампания вредоносного ПО Screenshotter была впервые обнаружена в октябре 2022 года, но ее активность значительно возросла в 2023 году. Это подчеркивает продолжающуюся эволюцию вредоносных программ и необходимость того, чтобы люди сохраняли бдительность и активно защищали свои устройства и личную информацию. Атаки с участием Screenshotter группируются исследователями кибербезопасности под названием «Кампании Screentime».

Кампания атаки и вектор заражения для доставки вредоносного ПО Screenshotter

Целям киберпреступников рассылаются фишинговые электронные письма. Злоумышленники используют несколько разных приманок, например, запрос на проверку связанной презентации. Однако предоставленная ссылка скомпрометирована и ведет к оружейному файлу. Жертвы могут получить вложение в виде небезопасного файла Microsoft Publisher (.pub), ссылки, ведущей к файлам .pub с поврежденными макросами, или зараженного PDF-файла, который загружает файлы JavaScript при открытии. Заражение вредоносным ПО инициируется, когда получатель нажимает на ссылки в электронном письме.

В наблюдаемых кампаниях Screentime использовалась многоэтапная цепочка заражения. Чтобы обеспечить постоянство на взломанных устройствах, злоумышленники TA886 сначала развернули полезную нагрузку под названием WasabiSeed. Эта полезная нагрузка служит плацдармом для злоумышленников, чтобы затем заразить систему вредоносным ПО Screenshotter.

После заражения системы вредоносная программа Screenshotter начинает делать скриншоты рабочего стола в формате изображения JPG и передавать их злоумышленникам. Затем скриншоты тщательно просматриваются злоумышленниками, которые используют собранную информацию для принятия решений о своих следующих шагах.