スクリーンショット マルウェア

2022 年 10 月、セキュリティ会社の Proofpoint は、「スクリーンタイム」と呼ばれる金銭目的の活動が進行していることに初めて気づきました。攻撃は、有害な添付ファイルまたはリンクを含む電子メールで始まり、WasabiSeed および Screenshotter という名前のマルウェアにつながります。

Proofpoint は、AHK ボットと Rhadamanthys Stealer を利用したエクスプロイト後の活動の事例も確認しています。

研究者は、TA866 という名前でこれらの活動を追跡しています。TA866 は、カスタム ツールを備え、他のソースから追加のツールやサービスを取得する機能を備えた、大規模に組織的な攻撃を実行するよく組織されたグループであると考えられています。

Proofpoint の調査チームは、次の種類の悪意のある電子メール キャンペーンを特定しました。

• Publisher (.pub) 添付ファイルに埋め込まれたマクロ
• 404 TDS 経由でマクロを含む Publisher ファイルにリンクする URL
• 404 TDS 経由で JavaScript ファイルにリンクする URL
• 404 TDS 経由で JavaScript ファイルにリンクする URL を含む PDF

当初、2022 年 10 月と 11 月のキャンペーンは、少数の企業を対象とした少数のメールに限定されていました。キャンペーンは週に 1 ～ 2 回行われ、メールには Publisher ファイルが添付されていました。しかし、攻撃者が 2022 年 11 月と 12 月に URL の使用に移行すると、その活動は大幅に拡大し、キャンペーンは数千から数万の電子メールを特徴とし、週に 2 から 4 回行われました。 2023 年 1 月、キャンペーンの頻度は減少しましたが、メールの量はさらに増加しました。

Screentime が使用する悪意のあるツールのようなマルウェアからシステムを保護するにはどうすればよいでしょうか?

Screentime で使用されているようなマルウェアからシステムを保護するには、サイバーセキュリティのベスト プラクティスに従うことが重要です。これらには、オペレーティング システムとソフトウェアを最新の状態に保つ、疑わしいリンクや電子メールの添付ファイルをクリックしない、強力で一意のパスワードを使用する、重要なデータを定期的にバックアップする、評判の良いウイルス対策ソフトウェアを使用するなどがあります。さらに、フィッシング詐欺について自分自身と従業員を教育し、信頼できるソースから送信されたように見える場合でも、予期しない電子メールに注意する必要があります。最新のセキュリティ脅威に関する情報を入手し、セキュリティに対して多層的なアプローチを採用することで、システムをマルウェア攻撃からより適切に保護することができます。