Ekrano kopijos kenkėjiška programa

2022 m. spalį saugos įmonė „Proofpoint“ pirmą kartą pastebėjo finansiškai motyvuotos veiklos, kurią ji vadina „Screentime“, progresą. Ataka prasideda nuo el. laiško, kuriame yra žalingas priedas arba nuoroda, nukreipianti į kenkėjišką programą, pavadintą WasabiSeed ir Screenshotter.

„Proofpoint“ taip pat matė veiklos po išnaudojimo atvejų, naudojant AHK Bot ir Rhadamanthys Stealer.

Tyrėjai seka šią veiklą pavadinimu TA866, kuri, jų manymu, yra gerai organizuota grupė, vykdanti sistemingas didelio masto atakas, aprūpinta pasirinktiniais įrankiais ir galimybe įsigyti papildomų įrankių ir paslaugų iš kitų šaltinių.

„Proofpoint“ tyrimų grupė nustatė šiuos kenkėjiškų el. pašto kampanijų tipus:

• Makrokomandos, įterptos į „Publisher“ (.pub) priedus
• URL, nukreipiantys į Publisher failus su makrokomandomis per 404 TDS
• URL, nukreipiantys į „JavaScript“ failus per 404 TDS
• PDF failai su URL nuorodomis į „JavaScript“ failus per 404 TDS

Iš pradžių 2022 m. spalio ir lapkričio mėn. kampanijos apsiribojo keletu el. laiškų, skirtų kelioms įmonėms. Kampanijos vykdavo maždaug kartą ar du per savaitę, o el. laiškuose būdavo pridedami leidėjo failai. Tačiau kai grėsmės veikėjas 2022 m. lapkričio ir gruodžio mėn. pradėjo naudoti URL, operacija labai išaugo – kampanijose buvo siunčiama nuo tūkstančių iki dešimčių tūkstančių el. laiškų ir jos vyksta du ar keturis kartus per savaitę. 2023 m. sausio mėn. kampanijų dažnis sumažėjo, tačiau el. laiškų skaičius dar labiau padidėjo.

Kaip galite apsaugoti savo sistemą nuo kenkėjiškų programų, pvz., „Screentime“ naudojamų kenkėjiškų įrankių?

Norint apsaugoti sistemą nuo kenkėjiškų programų, pvz., naudojamų Screentime, svarbu laikytis geriausios kibernetinio saugumo praktikos. Kai kurie iš jų apima: operacinės sistemos ir programinės įrangos atnaujinimą, įtartinų nuorodų ar priedų spustelėjimą el. laiškuose, stiprių ir unikalių slaptažodžių naudojimą, reguliarų svarbių duomenų atsarginių kopijų kūrimą ir patikimos antivirusinės programinės įrangos naudojimą. Be to, turėtumėte informuoti save ir savo darbuotojus apie sukčiavimo sukčiavimą ir saugotis netikėtų el. laiškų, net jei atrodo, kad jie gauti iš patikimo šaltinio. Būdami informuoti apie naujausias saugumo grėsmes ir taikydami daugiasluoksnį požiūrį į saugumą, galite geriau apsaugoti sistemą nuo kenkėjiškų programų atakų.