スクリーンショット マルウェア

Screenshotter マルウェアは、監視とデータ盗難を目的として設計された、新たに発見されたカスタムメイドの脅威です。この脅威の背後にあるサイバー犯罪グループは TA886 として追跡されており、脅威ツールを使用して米国とドイツの個人を標的にしています。

研究者によると、Screenshotter マルウェアは、本格的な攻撃を開始する前に潜在的な被害者を評価するために作成されました。これにより、TA886 は、攻撃による潜在的な見返りが努力に値するかどうかを判断できます。マルウェアは被害者のデバイスのスクリーンショットをキャプチャし、被害者のアクティビティや好みに関する情報を収集するために使用できます。

Screenshotter マルウェア キャンペーンは 2022 年 10 月に最初に特定されましたが、その活動は 2023 年に大幅に増加しました。これは、マルウェアの継続的な進化と、個人が自分のデバイスと個人情報を保護するために警戒と積極性を維持する必要性を浮き彫りにしています。 Screenshotter が関与する攻撃操作は、サイバーセキュリティ研究者によって Screentime キャンペーンという名前でグループ化されています。

スクリーンショット マルウェア配信のための攻撃キャンペーンと感染ベクトル

サイバー犯罪者のターゲットには、フィッシング メールが送信されます。攻撃者はいくつかの異なるルアーを使用します。その一例は、リンクされたプレゼンテーションを確認する要求です。ただし、提供されたリンクは侵害されており、兵器化されたファイルにつながっています。被害者は、安全でない Microsoft Publisher ファイル (.pub)、マクロが破損した .pub ファイルへのリンク、または開くと JavaScript ファイルをダウンロードする汚染された PDF の形式で添付ファイルを受け取る可能性があります。受信者が電子メール内のリンクをクリックすると、マルウェア感染が開始されます。

観察された Screentime キャンペーンは、多段階の感染チェーンを採用していました。侵害されたデバイスの持続性を確保するために、TA886 攻撃者は最初に WasabiSeed という名前のペイロードを展開しました。このペイロードは、攻撃者がシステムを Screenshotter マルウェアに感染させるための足がかりとして機能します。

システムが感染すると、Screenshotter マルウェアがデスクトップのスクリーンショットを JPG 画像形式で撮影し、サイバー犯罪者に送信し始めます。スクリーンショットは、攻撃者によって綿密にレビューされ、収集された情報を使用して次の動きが決定されます。