Zlonamerna programska oprema Screenshotter

Zlonamerna programska oprema Screenshotter je na novo odkrita grožnja po meri, zasnovana za namene nadzora in kraje podatkov. Skupina kibernetskega kriminala, ki stoji za to grožnjo, je označena kot TA886 in uporablja orodje za grožnje za ciljanje posameznikov v Združenih državah in Nemčiji.

Po mnenju raziskovalcev je zlonamerna programska oprema Screenshotter ustvarjena za oceno potencialnih žrtev pred začetkom obsežnega napada. To omogoča TA886, da ugotovi, ali je potencialni dobiček od napada vreden truda. Zlonamerna programska oprema zajame posnetke zaslona žrtvine naprave, ki jih je nato mogoče uporabiti za zbiranje informacij o žrtvinih dejavnostih in preferencah.

Kampanja zlonamerne programske opreme Screenshotter je bila prvič ugotovljena oktobra 2022, vendar se je njena dejavnost leta 2023 močno povečala. To poudarja nadaljnji razvoj zlonamerne programske opreme in potrebo, da posamezniki ostanejo pozorni in proaktivni pri zaščiti svojih naprav in osebnih podatkov. Operacije napadov, ki vključujejo Screenshotter, raziskovalci kibernetske varnosti združujejo pod imenom Screentime campaigns.

Napadna kampanja in vektor okužbe za dostavo zlonamerne programske opreme Screenshotter

Tarče kiberkriminalcev so pošiljanje lažnih e-poštnih sporočil. Napadalci uporabljajo več različnih vab, en primer je zahteva za preverjanje povezane predstavitve. Vendar je navedena povezava ogrožena in vodi do datoteke z orožjem. Žrtve lahko prejmejo prilogo v obliki nevarne datoteke Microsoft Publisher (.pub), povezave, ki vodi do datotek .pub s poškodovanimi makri, ali okuženega PDF-ja, ki ob odprtju prenese datoteke JavaScript. Okužba z zlonamerno programsko opremo se sproži, ko prejemnik klikne povezave v e-pošti.

Opažene akcije Screentime so uporabljale večstopenjsko verigo okužb. Da bi zagotovili obstojnost na napravah, ki so bile poškodovane, so akterji groženj TA886 najprej namestili tovor z imenom WasabiSeed. Ta obremenitev služi kot opora za napadalce, da nato okužijo sistem z zlonamerno programsko opremo Screenshotter.

Ko je sistem okužen, zlonamerna programska oprema Screenshotter začne delati posnetke zaslona namizja v slikovnem formatu JPG in jih posredovati spletnim kriminalcem. Posnetke zaslona nato skrbno pregledajo akterji groženj, ki se na podlagi zbranih informacij odločijo o svojih naslednjih potezah.