Screenshotter-Malware
Die Screenshotter-Malware ist eine neu entdeckte, maßgeschneiderte Bedrohung, die zum Zwecke der Überwachung und des Datendiebstahls entwickelt wurde. Die hinter dieser Bedrohung stehende cyberkriminelle Gruppe wird als TA886 verfolgt und nutzt das Bedrohungstool, um Personen in den Vereinigten Staaten und Deutschland anzugreifen.
Laut Forschern wird die Screenshotter-Malware erstellt, um die potenziellen Opfer zu bewerten, bevor ein umfassender Angriff gestartet wird. Auf diese Weise kann TA886 feststellen, ob die potenzielle Belohnung des Angriffs den Aufwand wert ist. Die Malware erfasst Screenshots des Geräts des Opfers, die dann verwendet werden können, um Informationen über die Aktivitäten und Vorlieben des Opfers zu sammeln.
Die Screenshotter-Malware-Kampagne wurde erstmals im Oktober 2022 identifiziert, aber ihre Aktivität hat im Jahr 2023 erheblich zugenommen. Dies unterstreicht die kontinuierliche Entwicklung von Malware und die Notwendigkeit für Einzelpersonen, beim Schutz ihrer Geräte und persönlichen Daten wachsam und proaktiv zu bleiben. Die Angriffsoperationen mit Screenshotter werden von Cybersicherheitsforschern unter dem Namen Screentime-Kampagnen zusammengefasst.
Angriffskampagne und Infektionsvektor für die Auslieferung der Screenshotter-Malware
Den Zielen der Cyberkriminellen werden Phishing-E-Mails zugesandt. Die Angreifer verwenden verschiedene Köder, darunter eine Aufforderung, die verlinkte Präsentation zu überprüfen. Der bereitgestellte Link ist jedoch kompromittiert und führt zu einer bewaffneten Datei. Die Opfer erhalten möglicherweise einen Anhang in Form einer unsicheren Microsoft Publisher-Datei (.pub), einen Link, der zu .pub-Dateien mit beschädigten Makros führt, oder ein kontaminiertes PDF, das beim Öffnen JavaScript-Dateien herunterlädt. Die Malware-Infektion wird initiiert, wenn der Empfänger auf die Links in der E-Mail klickt.
Die beobachteten Screentime-Kampagnen verwendeten eine mehrstufige Infektionskette. Um die Persistenz auf den angegriffenen Geräten sicherzustellen, setzten die TA886-Bedrohungsakteure zunächst eine Nutzlast namens WasabiSeed ein. Diese Payload dient den Angreifern als Stützpunkt, um das System anschließend mit der Screenshotter-Malware zu infizieren.
Sobald das System infiziert ist, beginnt die Screenshotter-Malware damit, Screenshots des Desktops im JPG-Bildformat zu erstellen und sie an die Cyberkriminellen zu übermitteln. Die Screenshots werden dann von den Bedrohungsakteuren sorgfältig überprüft, die die gesammelten Informationen verwenden, um über ihre nächsten Schritte zu entscheiden.
