Screenshotter Malware
Ang Screenshotter malware ay isang bagong natuklasang custom-made na banta na idinisenyo para sa layunin ng pagsubaybay at pagnanakaw ng data. Ang cybercriminal group sa likod ng banta na ito ay sinusubaybayan bilang TA886, at ginagamit nito ang tool na nagbabantang i-target ang mga indibidwal sa United States at Germany.
Ayon sa mga mananaliksik, ang Screenshotter malware ay nilikha upang suriin ang mga potensyal na biktima bago maglunsad ng isang malawakang pag-atake. Nagbibigay-daan ito sa TA886 na matukoy kung ang potensyal na kabayaran mula sa pag-atake ay katumbas ng pagsisikap. Kinukuha ng malware ang mga screenshot ng device ng biktima, na maaaring magamit upang mangalap ng impormasyon tungkol sa mga aktibidad at kagustuhan ng biktima.
Ang Screenshotter malware campaign ay unang natukoy noong Oktubre 2022, ngunit ang aktibidad nito ay tumaas nang malaki noong 2023. Itinatampok nito ang patuloy na ebolusyon ng malware at ang pangangailangan para sa mga indibidwal na manatiling mapagbantay at proactive sa pagprotekta sa kanilang mga device at personal na impormasyon. Ang mga operasyon ng pag-atake na kinasasangkutan ng Screenshotter ay pinagsama-sama ng mga mananaliksik sa cybersecurity sa ilalim ng pangalang Screentime campaign.
Attack Campaign at Infection Vector para sa Paghahatid ng Screenshotter Malware
Ang mga target ng mga cybercriminal ay pinadalhan ng mga phishing email. Gumagamit ang mga umaatake ng maraming iba't ibang pang-akit, na may isang halimbawa ay isang kahilingan upang suriin ang naka-link na presentasyon. Gayunpaman, ang ibinigay na link ay nakompromiso at humahantong sa isang weaponized na file. Ang mga biktima ay maaaring makatanggap ng attachment sa anyo ng isang hindi ligtas na Microsoft Publisher file (.pub), isang link na humahantong sa mga .pub na file na may mga sira na macro, o isang kontaminadong PDF na nagda-download ng mga JavaScript file kapag binuksan. Ang impeksyon sa malware ay sinisimulan kapag nag-click ang tatanggap sa mga link sa email.
Ang mga kampanya ng Screentime na naobserbahan ay gumamit ng isang multi-stage na chain ng impeksyon. Upang matiyak ang pagtitiyaga sa mga nalabag na device, ang mga aktor ng pagbabanta ng TA886 ay unang nag-deploy ng isang payload na pinangalanang WasabiSeed. Ang payload na ito ay nagsisilbing foothold para sa mga umaatake na mahawa sa system gamit ang Screenshotter malware.
Kapag nahawa na ang system, magsisimulang kumuha ang malware ng Screenshotter ng mga screenshot ng desktop sa JPG na format ng imahe at ipapadala ang mga ito sa mga cybercriminal. Ang mga screenshot ay pagkatapos ay masusing sinusuri ng mga aktor ng pagbabanta, na gumagamit ng nakolektang impormasyon upang magpasya sa kanilang mga susunod na hakbang.
