Ekran Görüntüleyici Kötü Amaçlı Yazılım

Screenshotter kötü amaçlı yazılımı, yeni keşfedilen, gözetleme ve veri hırsızlığı amacıyla tasarlanmış özel yapım bir tehdittir. Bu tehdidin arkasındaki siber suçlu grubu TA886 olarak izleniyor ve ABD ve Almanya'daki bireyleri hedef almak için tehdit aracını kullanıyor.

Araştırmacılara göre, Screenshotter kötü amaçlı yazılımı, tam ölçekli bir saldırı başlatmadan önce potansiyel kurbanları değerlendirmek için oluşturuldu. Bu, TA886'nın saldırıdan elde edilecek olası getirilerin harcanan çabaya değip değmeyeceğini belirlemesini sağlar. Kötü amaçlı yazılım, kurbanın cihazının ekran görüntülerini yakalar ve bu görüntüler daha sonra kurbanın faaliyetleri ve tercihleri hakkında bilgi toplamak için kullanılabilir.

Screenshotter kötü amaçlı yazılım kampanyası ilk olarak Ekim 2022'de belirlendi, ancak etkinliği 2023'te önemli ölçüde arttı. Bu, kötü amaçlı yazılımların devam eden gelişimini ve bireylerin cihazlarını ve kişisel bilgilerini koruma konusunda tetikte ve proaktif kalma ihtiyacını vurguluyor. Screenshotter'ı içeren saldırı operasyonları, siber güvenlik araştırmacıları tarafından Screentime kampanyaları adı altında gruplandırılıyor.

Screenshotter Kötü Amaçlı Yazılımının Teslimi için Saldırı Kampanyası ve Enfeksiyon Vektörü

Siber suçluların hedeflerine kimlik avı e-postaları gönderilir. Saldırganlar, bir örnek bağlantılı sunumu kontrol etme isteği olmak üzere birkaç farklı yem kullanır. Ancak sağlanan bağlantının güvenliği ihlal edilmiş ve silah haline getirilmiş bir dosyaya yönlendiriliyor. Kurbanlar, güvenli olmayan bir Microsoft Publisher dosyası (.pub), bozuk makrolara sahip .pub dosyalarına yönlendiren bir bağlantı veya açıldığında JavaScript dosyalarını indiren kirli bir PDF biçiminde bir ek alabilir. Kötü amaçlı yazılım bulaşması, alıcı e-postadaki bağlantılara tıkladığında başlar.

Gözlemlenen Screentime kampanyalarında çok aşamalı bir bulaşma zinciri kullanıldı. İhlal edilen cihazlarda kalıcılığı sağlamak için TA886 tehdit aktörleri önce WasabiSeed adlı bir faydalı yük konuşlandırdı. Bu yük, saldırganların daha sonra sisteme Screenshotter kötü amaçlı yazılımını bulaştırması için bir dayanak görevi görür.

Sisteme virüs bulaştığında, Screenshotter kötü amaçlı yazılımı masaüstünün ekran görüntülerini JPG görüntü formatında almaya ve bunları siber suçlulara iletmeye başlar. Ardından ekran görüntüleri, toplanan bilgileri bir sonraki hamlelerine karar vermek için kullanan tehdit aktörleri tarafından titizlikle incelenir.