Złośliwe oprogramowanie do tworzenia zrzutów ekranu

W październiku 2022 roku firma ochroniarska Proofpoint po raz pierwszy zauważyła postęp w działaniach motywowanych finansowo, które nazywa „Screentime”. Atak rozpoczyna się od wiadomości e-mail zawierającej szkodliwy załącznik lub łącze, prowadzące do złośliwego oprogramowania o nazwie WasabiSeed i Screenshotter.

Firma Proofpoint widziała również przypadki działań poeksploatacyjnych z wykorzystaniem AHK Bot i Rhadamanthys Stealer.

Badacze śledzą te działania pod nazwą TA866, którą uważają za dobrze zorganizowaną grupę przeprowadzającą systematyczne ataki na dużą skalę, wyposażoną w niestandardowe narzędzia oraz możliwość pozyskiwania dodatkowych narzędzi i usług z innych źródeł.

Zespół badawczy z Proofpoint zidentyfikował następujące typy złośliwych kampanii e-mailowych:

• Makra osadzone w załącznikach programu Publisher (.pub).
• Adresy URL prowadzące do plików programu Publisher z makrami za pośrednictwem TDS 404
• Adresy URL prowadzące do plików JavaScript za pośrednictwem TDS 404
• Pliki PDF z adresami URL prowadzącymi do plików JavaScript za pośrednictwem TDS 404

Początkowo kampanie w październiku i listopadzie 2022 r. ograniczały się do niewielkiej liczby e-maili skierowanych do kilku firm. Kampanie odbywały się mniej więcej raz lub dwa razy w tygodniu, a e-maile zawierały załączone pliki wydawcy. Jednak kiedy cyberprzestępca zaczął używać adresów URL w listopadzie i grudniu 2022 r., operacja znacznie się rozrosła, a kampanie obejmowały od tysięcy do dziesiątek tysięcy e-maili i odbywały się od dwóch do czterech razy w tygodniu. W styczniu 2023 r. częstotliwość kampanii spadła, ale ilość e-maili wzrosła jeszcze bardziej.

Jak możesz chronić swój system przed złośliwym oprogramowaniem, takim jak złośliwe narzędzia używane przez Screentime?

Aby chronić swój system przed złośliwym oprogramowaniem, takim jak te używane przez Screentime, ważne jest przestrzeganie najlepszych praktyk w zakresie cyberbezpieczeństwa. Niektóre z nich to: aktualizowanie systemu operacyjnego i oprogramowania, unikanie klikania podejrzanych łączy lub załączników w wiadomościach e-mail, używanie silnych i unikalnych haseł, regularne tworzenie kopii zapasowych ważnych danych oraz korzystanie z renomowanego oprogramowania antywirusowego. Ponadto powinieneś edukować siebie i swoich pracowników w zakresie oszustw związanych z wyłudzaniem informacji i uważać na nieoczekiwane wiadomości e-mail, nawet jeśli wydają się pochodzić z zaufanego źródła. Bycie na bieżąco z najnowszymi zagrożeniami bezpieczeństwa i przyjęcie wielowarstwowego podejścia do bezpieczeństwa może pomóc w lepszej ochronie systemu przed atakami złośliwego oprogramowania.