Screenshotter Malware

2022 októberében a Proofpoint biztonsági cég először észlelt előrelépést a pénzügyileg motivált tevékenységekben, amelyeket "Screentime"-nek nevez. A támadás egy e-maillel kezdődik, amely tartalmaz egy káros mellékletet vagy linket, amely a WasabiSeed és a Screenshotter nevű rosszindulatú programhoz vezet.

A Proofpoint az AHK Bot és a Rhadamanthys Stealer felhasználásával végzett kizsákmányolás utáni tevékenységeket is látott.

A kutatók TA866 néven követik nyomon ezeket a tevékenységeket, amelyről úgy vélik, hogy egy jól szervezett csoport, amely nagy léptékű szisztematikus támadásokat hajt végre, egyedi eszközökkel felszerelve, valamint képes további eszközöket és szolgáltatásokat szerezni más forrásokból.

A Proofpoint kutatócsoportja a rosszindulatú e-mail kampányok következő típusait azonosította:

• A Publisher (.pub) mellékleteibe ágyazott makrók
• Makrókat tartalmazó Publisher-fájlokra mutató URL-ek 404 TDS-en keresztül
• JavaScript-fájlokra 404-es TDS-en keresztül hivatkozó URL-ek
• PDF-ek, amelyek URL-jei JavaScript-fájlokra hivatkoznak 404-es TDS-en keresztül

Kezdetben a 2022 októberében és novemberében zajló kampányok csak kis számú e-mailre korlátozódtak, amelyek néhány vállalatot céloztak meg. A kampányok körülbelül hetente egy-két alkalommal zajlottak, és az e-mailekhez csatolt Publisher-fájlok is voltak. Amikor azonban a fenyegetettség szereplője 2022 novemberében és decemberében áttért az URL-ek használatára, a művelet jelentősen megnőtt: a kampányok több ezer-tízezer e-mailt tartalmaztak, és hetente kétszer-négy alkalommal került sor. 2023 januárjában a kampányok gyakorisága csökkent, de az e-mailek száma még jobban nőtt.

Hogyan védheti meg rendszerét a rosszindulatú programoktól, például a Screentime által használt rosszindulatú eszközöktől?

Ahhoz, hogy megvédje rendszerét a Screentime által használt rosszindulatú programoktól, fontos, hogy kövesse a kiberbiztonság legjobb gyakorlatait. Ezek közé tartozik: az operációs rendszer és a szoftver naprakészen tartása, az e-mailekben található gyanús hivatkozásokra vagy mellékletekre való kattintás elkerülése, erős és egyedi jelszavak használata, a fontos adatok rendszeres biztonsági mentése, valamint egy jó hírű víruskereső szoftver használata. Ezenkívül tájékoztassa magát és alkalmazottait az adathalász csalásokról, és legyen óvatos a váratlan e-mailekkel, még akkor is, ha azok megbízható forrásból származnak. A legfrissebb biztonsági fenyegetésekkel kapcsolatos tájékozottság és a biztonság többrétegű megközelítése segíthet a rendszer jobb védelmében a rosszindulatú programok elleni támadásokkal szemben.