Вредоносное ПО для скриншотов

В октябре 2022 года охранная компания Proofpoint впервые заметила прогресс в финансово мотивированной деятельности, которую она назвала «Screentime». Атака начинается с электронного письма, которое содержит вредоносное вложение или ссылку, ведущую к вредоносным программам WasabiSeed и Screenshotter.

Компания Proofpoint также зафиксировала случаи постэксплуатационной активности с использованием AHK Bot и Rhadamanthys Stealer.

Исследователи отслеживают эту деятельность под именем TA866, которую они считают хорошо организованной группой, осуществляющей систематические крупномасштабные атаки, оснащенной специальными инструментами и возможностью приобретать дополнительные инструменты и услуги из других источников.

Исследовательская группа Proofpoint выявила следующие типы вредоносных почтовых рассылок:

• Макросы, встроенные во вложения Publisher (.pub)
• URL-адреса, ссылающиеся на файлы Publisher с макросами через 404 TDS
• URL-адреса, ссылающиеся на файлы JavaScript через TDS 404
• PDF-файлы с URL-адресами, ссылающимися на файлы JavaScript через TDS 404.

Первоначально кампании в октябре и ноябре 2022 года были ограничены небольшим количеством электронных писем, нацеленных на несколько компаний. Кампании проводились примерно один или два раза в неделю, и электронные письма содержали прикрепленные файлы Publisher. Однако когда злоумышленник перешел на использование URL-адресов в ноябре и декабре 2022 года, объем операций значительно вырос: кампании включали от тысяч до десятков тысяч электронных писем и проводились от двух до четырех раз в неделю. В январе 2023 года частота кампаний снизилась, но объем электронной почты увеличился еще больше.

Как вы можете защитить свою систему от вредоносных программ, таких как вредоносные инструменты, используемые Screentime?

Чтобы защитить вашу систему от вредоносных программ, подобных тем, которые использует Screentime, важно следовать передовым методам кибербезопасности. Некоторые из них включают в себя: поддержание вашей операционной системы и программного обеспечения в актуальном состоянии, избегание перехода по подозрительным ссылкам или вложениям в электронных письмах, использование надежных и уникальных паролей, регулярное резервное копирование важных данных и использование надежного антивирусного программного обеспечения. Кроме того, вы должны информировать себя и своих сотрудников о фишинге и опасаться неожиданных электронных писем, даже если кажется, что они исходят из надежного источника. Будьте в курсе последних угроз безопасности и применяйте многоуровневый подход к безопасности, чтобы лучше защитить свою систему от атак вредоносных программ.