Screenshotter Malware
Skadlig programvara Screenshotter är ett nyupptäckt skräddarsytt hot designat för övervakning och datastöld. Den cyberkriminella gruppen bakom detta hot spåras som TA886, och den använder det hotfulla verktyget för att rikta in sig på individer i USA och Tyskland.
Enligt forskare skapas skadlig programvara Screenshotter för att utvärdera de potentiella offren innan en fullskalig attack lanseras. Detta gör att TA886 kan avgöra om den potentiella vinsten från attacken är värt ansträngningen. Skadlig programvara tar skärmdumpar av offrets enhet, som sedan kan användas för att samla information om offrets aktiviteter och preferenser.
Skadlig programvara Screenshotter identifierades först i oktober 2022, men dess aktivitet har ökat avsevärt under 2023. Detta belyser den fortsatta utvecklingen av skadlig programvara och behovet för individer att vara vaksamma och proaktiva när det gäller att skydda sina enheter och personlig information. Attackoperationerna som involverar Screenshotter grupperas av cybersäkerhetsforskare under namnet Screentime-kampanjer.
Attackkampanj och infektionsvektor för leverans av skärmdumpar-malware
Målen för cyberbrottslingarna skickas nätfiske-e-post. Angriparna använder flera olika beten, där ett exempel är en begäran om att kontrollera den länkade presentationen. Den angivna länken är dock äventyrad och leder till en beväpnad fil. Offren kan få en bilaga i form av en osäker Microsoft Publisher-fil (.pub), en länk som leder till .pub-filer med skadade makron, eller en förorenad PDF som laddar ner JavaScript-filer när de öppnas. Infektionen av skadlig programvara initieras när mottagaren klickar på länkarna i e-postmeddelandet.
Screentime-kampanjerna som observerades använde en infektionskedja i flera steg. För att säkerställa uthållighet på de brutna enheterna, distribuerade TA886-hotaktörerna först en nyttolast vid namn WasabiSeed. Denna nyttolast fungerar som ett fotfäste för angriparna för att sedan infektera systemet med skadlig programvara Screenshotter.
När systemet väl är infekterat börjar den skadliga skärmdumparen att ta skärmdumpar av skrivbordet i JPG-bildformat och överföra dem till cyberbrottslingar. Skärmbilderna granskas sedan noggrant av hotaktörerna, som använder den insamlade informationen för att bestämma sina nästa drag.
