Κακόβουλο λογισμικό Screenshotter
Τον Οκτώβριο του 2022, η εταιρεία ασφαλείας Proofpoint παρατήρησε για πρώτη φορά μια πρόοδο σε δραστηριότητες με οικονομικά κίνητρα που αποκαλεί "Screentime". Η επίθεση ξεκινά με ένα email που περιλαμβάνει είτε ένα επιβλαβές συνημμένο είτε έναν σύνδεσμο, που οδηγεί σε κακόβουλο λογισμικό που ονομάζεται WasabiSeed και Screenshotter.
Η Proofpoint έχει επίσης δει περιπτώσεις δραστηριότητας μετά την εκμετάλλευση που χρησιμοποιεί το AHK Bot και το Rhadamanthys Stealer.
Οι ερευνητές παρακολουθούν αυτές τις δραστηριότητες με το όνομα TA866, το οποίο πιστεύουν ότι είναι μια καλά οργανωμένη ομάδα που εκτελεί συστηματικές επιθέσεις σε μεγάλη κλίμακα, εξοπλισμένη με προσαρμοσμένα εργαλεία και δυνατότητα απόκτησης πρόσθετων εργαλείων και υπηρεσιών από άλλες πηγές.
Η ερευνητική ομάδα με το Proofpoint έχει εντοπίσει τους ακόλουθους τύπους κακόβουλων καμπανιών ηλεκτρονικού ταχυδρομείου:
- Μακροεντολές ενσωματωμένες σε συνημμένα Publisher (.pub).
- Διευθύνσεις URL που συνδέονται με αρχεία Publisher με μακροεντολές μέσω 404 TDS
- Διευθύνσεις URL που συνδέονται με αρχεία JavaScript μέσω 404 TDS
- PDF με URL που συνδέονται με αρχεία JavaScript μέσω 404 TDS
Αρχικά, οι καμπάνιες τον Οκτώβριο και τον Νοέμβριο του 2022 περιορίζονταν σε μικρό αριθμό email που στόχευαν λίγες εταιρείες. Οι καμπάνιες πραγματοποιούνταν περίπου μία ή δύο φορές την εβδομάδα και τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν συνημμένα αρχεία του Publisher. Ωστόσο, όταν ο παράγοντας της απειλής μεταπήδησε στη χρήση διευθύνσεων URL τον Νοέμβριο και τον Δεκέμβριο του 2022, η επιχείρηση αυξήθηκε σημαντικά, με εκστρατείες που περιείχαν χιλιάδες έως δεκάδες χιλιάδες email και πραγματοποιούνταν δύο έως τέσσερις φορές την εβδομάδα. Τον Ιανουάριο του 2023, η συχνότητα της καμπάνιας μειώθηκε, αλλά ο όγκος των email αυξήθηκε ακόμη περισσότερο.
Πώς μπορείτε να προστατεύσετε το σύστημά σας από κακόβουλο λογισμικό όπως τα κακόβουλα εργαλεία που χρησιμοποιεί το Screentime;
Για να προστατεύσετε το σύστημά σας από κακόβουλο λογισμικό όπως αυτά που χρησιμοποιεί το Screentime, είναι σημαντικό να ακολουθείτε τις βέλτιστες πρακτικές για την ασφάλεια στον κυβερνοχώρο. Μερικά από αυτά περιλαμβάνουν: να διατηρείτε ενημερωμένα το λειτουργικό σύστημα και το λογισμικό σας, να αποφεύγετε να κάνετε κλικ σε ύποπτους συνδέσμους ή συνημμένα στα email, να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης, να δημιουργείτε τακτικά αντίγραφα ασφαλείας σημαντικών δεδομένων και να χρησιμοποιείτε ένα αξιόπιστο λογισμικό προστασίας από ιούς. Επιπλέον, θα πρέπει να εκπαιδεύσετε τον εαυτό σας και τους υπαλλήλους σας σχετικά με τις απάτες ηλεκτρονικού ψαρέματος και να είστε επιφυλακτικοί με απροσδόκητα μηνύματα ηλεκτρονικού ταχυδρομείου, ακόμα κι αν φαίνεται ότι προέρχονται από αξιόπιστη πηγή. Η ενημέρωση σχετικά με τις πιο πρόσφατες απειλές ασφαλείας και η υιοθέτηση μιας πολυεπίπεδης προσέγγισης για την ασφάλεια μπορεί να σας βοηθήσει να προστατεύσετε καλύτερα το σύστημά σας από επιθέσεις κακόβουλου λογισμικού.
