มัลแวร์สกรีนช็อต
มัลแวร์ Screenshotter เป็นภัยคุกคามแบบกำหนดเองที่ค้นพบใหม่ที่ออกแบบมาเพื่อวัตถุประสงค์ในการเฝ้าระวังและการโจรกรรมข้อมูล กลุ่มอาชญากรไซเบอร์ที่อยู่เบื้องหลังภัยคุกคามนี้ถูกติดตามในชื่อ TA886 และกำลังใช้เครื่องมือคุกคามเพื่อกำหนดเป้าหมายเป็นบุคคลในสหรัฐอเมริกาและเยอรมนี
จากข้อมูลของนักวิจัย มัลแวร์ Screenshotter ถูกสร้างขึ้นเพื่อประเมินผู้ที่อาจตกเป็นเหยื่อก่อนที่จะเริ่มการโจมตีเต็มรูปแบบ สิ่งนี้ทำให้ TA886 สามารถระบุได้ว่าผลตอบแทนที่อาจเกิดขึ้นจากการโจมตีนั้นคุ้มค่ากับความพยายามหรือไม่ มัลแวร์จับภาพหน้าจอของอุปกรณ์ของเหยื่อ ซึ่งสามารถใช้รวบรวมข้อมูลเกี่ยวกับกิจกรรมและความชอบของเหยื่อได้
แคมเปญมัลแวร์ Screenshotter ได้รับการตรวจพบครั้งแรกในเดือนตุลาคม 2565 แต่มีกิจกรรมเพิ่มขึ้นอย่างมากในปี 2566 สิ่งนี้เน้นให้เห็นถึงวิวัฒนาการอย่างต่อเนื่องของมัลแวร์และความจำเป็นที่แต่ละคนยังคงเฝ้าระวังและเชิงรุกในการปกป้องอุปกรณ์และข้อมูลส่วนตัวของตน การดำเนินการโจมตีที่เกี่ยวข้องกับ Screenshotter นั้นถูกจัดกลุ่มโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ภายใต้ชื่อแคมเปญ Screentime
แคมเปญโจมตีและเวกเตอร์การติดเชื้อสำหรับการส่งมอบมัลแวร์ Screenshotter
เป้าหมายของอาชญากรไซเบอร์จะส่งฟิชชิ่งอีเมล ผู้โจมตีใช้เหยื่อล่อหลายแบบ โดยตัวอย่างหนึ่งเป็นการร้องขอให้ตรวจสอบการนำเสนอที่เชื่อมโยง อย่างไรก็ตาม ลิงก์ที่ให้มานั้นถูกบุกรุกและนำไปสู่ไฟล์ที่มีอาวุธ เหยื่ออาจได้รับไฟล์แนบในรูปแบบของไฟล์ Microsoft Publisher (.pub) ที่ไม่ปลอดภัย ลิงก์ที่นำไปสู่ไฟล์ .pub ที่มีมาโครเสียหาย หรือไฟล์ PDF ที่ปนเปื้อนซึ่งดาวน์โหลดไฟล์ JavaScript เมื่อเปิด การติดมัลแวร์จะเริ่มขึ้นเมื่อผู้รับคลิกลิงก์ในอีเมล
แคมเปญ Screentime ที่ถูกสังเกตนั้นใช้ห่วงโซ่การติดเชื้อแบบหลายขั้นตอน เพื่อให้แน่ใจว่าอุปกรณ์ที่ถูกละเมิดจะคงอยู่ ผู้คุกคาม TA886 ได้ปรับใช้เพย์โหลดชื่อ WasabiSeed ก่อน เพย์โหลดนี้ทำหน้าที่เป็นหลักให้ผู้โจมตีติดมัลแวร์จากโปรแกรม Screenshotter
เมื่อระบบติดไวรัส มัลแวร์ Screenshotter จะเริ่มจับภาพหน้าจอของเดสก์ท็อปในรูปแบบภาพ JPG และส่งไปยังอาชญากรไซเบอร์ จากนั้นภาพหน้าจอจะได้รับการตรวจสอบอย่างพิถีพิถันโดยผู้คุกคาม ซึ่งใช้ข้อมูลที่รวบรวมได้เพื่อตัดสินใจดำเนินการต่อไป
