Screenshot Malware

Malvér Screenshotter je novoobjavená na mieru vyrobená hrozba určená na sledovanie a krádež údajov. Skupina kybernetických zločincov, ktorá stojí za touto hrozbou, je sledovaná ako TA886 a tento nástroj používa na zacielenie na jednotlivcov v Spojených štátoch a Nemecku.

Podľa výskumníkov je malvér Screenshotter vytvorený na vyhodnotenie potenciálnych obetí pred spustením útoku v plnom rozsahu. To umožňuje TA886 určiť, či potenciálna odmena z útoku stojí za námahu. Malvér zachytáva snímky obrazovky zariadenia obete, ktoré potom možno použiť na zhromažďovanie informácií o aktivitách a preferenciách obete.

Malvérová kampaň Screenshotter bola prvýkrát identifikovaná v októbri 2022, ale jej aktivita sa výrazne zvýšila v roku 2023. To poukazuje na pokračujúci vývoj malvéru a potrebu jednotlivcov zostať ostražití a proaktívni pri ochrane svojich zariadení a osobných údajov. Útočné operácie zahŕňajúce Screenshotter sú zoskupené výskumníkmi kybernetickej bezpečnosti pod názvom Screentime campaign.

Útočná kampaň a vektor infekcie na doručenie malvéru na snímanie obrazovky

Cieľom kyberzločincov sú phishingové e-maily. Útočníci používajú niekoľko rôznych návnad, pričom jedným príkladom je požiadavka na kontrolu prepojenej prezentácie. Poskytnutý odkaz je však napadnutý a vedie k súboru so zbraňami. Obete môžu dostať prílohu vo forme nebezpečného súboru Microsoft Publisher (.pub), odkazu, ktorý vedie na súbory .pub s poškodenými makrami, alebo kontaminovaného PDF, ktorý pri otvorení sťahuje súbory JavaScript. Infekcia škodlivým softvérom sa spustí, keď príjemca klikne na odkazy v e-maile.

Kampane Screentime, ktoré boli pozorované, využívali viacstupňový infekčný reťazec. Aby sa zabezpečilo pretrvávanie na narušených zariadeniach, aktéri hrozby TA886 najprv nasadili užitočné zaťaženie s názvom WasabiSeed. Toto užitočné zaťaženie slúži ako opora pre útočníkov, aby potom infikovali systém malvérom Screenshotter.

Keď je systém infikovaný, malvér Screenshotter začne vytvárať snímky obrazovky pracovnej plochy vo formáte JPG a odosielať ich kyberzločincom. Snímky obrazovky potom dôkladne skontrolujú aktéri hrozieb, ktorí na základe získaných informácií rozhodnú o svojom ďalšom postupe.