Скріншотер шкідливих програм

Шкідливе програмне забезпечення Screenshotter — це нещодавно створена загроза, призначена для стеження та крадіжки даних. Група кіберзлочинців, яка стоїть за цією загрозою, відстежується як TA886, і вона використовує цей інструмент для нападу на осіб у Сполучених Штатах і Німеччині.

За словами дослідників, шкідлива програма Screenshotter створена для оцінки потенційних жертв перед початком повномасштабної атаки. Це дозволяє TA886 визначити, чи вартий потенційний виграш від атаки зусиль. Зловмисне програмне забезпечення робить знімки екрана пристрою жертви, які потім можуть бути використані для збору інформації про дії та вподобання жертви.

Кампанію зловмисного програмного забезпечення Screenshotter було вперше виявлено в жовтні 2022 року, але його активність значно зросла в 2023 році. Це підкреслює постійну еволюцію зловмисного програмного забезпечення та потребу, щоб люди залишалися пильними та проактивними, захищаючи свої пристрої та особисту інформацію. Операції атаки із залученням Screenshotter дослідники кібербезпеки згрупували під назвою Screentime кампанії.

Кампанія атаки та вектор зараження для доставки зловмисного програмного забезпечення Screenshotter

Мішенями кіберзлочинців надсилаються фішингові листи. Зловмисники використовують кілька різних приманок, одним із прикладів є запит перевірити пов’язану презентацію. Однак надане посилання скомпрометовано та веде до файлу із застосуванням зброї. Жертви можуть отримати вкладення у вигляді небезпечного файлу Microsoft Publisher (.pub), посилання, яке веде до файлів .pub із пошкодженими макросами, або зараженого PDF-файлу, який завантажує файли JavaScript під час відкриття. Зараження шкідливим програмним забезпеченням ініціюється, коли одержувач натискає посилання в електронному листі.

Кампанії Screentime, які спостерігалися, використовували багатоетапний ланцюг зараження. Щоб забезпечити стійкість на зламаних пристроях, зловмисники TA886 спочатку розгорнули корисне навантаження під назвою WasabiSeed. Це корисне навантаження служить плацдармом для зловмисників, щоб потім заразити систему шкідливим програмним забезпеченням Screenshotter.

Після зараження системи зловмисне програмне забезпечення Screenshotter починає робити знімки екрана робочого столу у форматі зображення JPG і передавати їх кіберзлочинцям. Знімки екрана потім ретельно переглядаються суб’єктами загрози, які використовують зібрану інформацію, щоб прийняти рішення про свої подальші дії.