Logiciel malveillant de capture d'écran

Le logiciel malveillant Screenshotter est une menace sur mesure récemment découverte, conçue à des fins de surveillance et de vol de données. Le groupe cybercriminel à l'origine de cette menace est suivi sous le nom de TA886, et il utilise l'outil menaçant pour cibler des individus aux États-Unis et en Allemagne.

Selon les chercheurs, le malware Screenshotter est créé pour évaluer les victimes potentielles avant de lancer une attaque à grande échelle. Cela permet au TA886 de déterminer si le gain potentiel de l'attaque en vaut la peine. Le logiciel malveillant capture des captures d'écran de l'appareil de la victime, qui peuvent ensuite être utilisées pour recueillir des informations sur les activités et les préférences de la victime.

La campagne de logiciels malveillants Screenshotter a été identifiée pour la première fois en octobre 2022, mais son activité a considérablement augmenté en 2023. Cela met en évidence l'évolution continue des logiciels malveillants et la nécessité pour les individus de rester vigilants et proactifs dans la protection de leurs appareils et de leurs informations personnelles. Les opérations d'attaque impliquant Screenshotter sont regroupées par les chercheurs en cybersécurité sous le nom de campagnes Screentime.

Campagne d'attaque et vecteur d'infection pour la diffusion du logiciel malveillant Screenshotter

Les cibles des cybercriminels reçoivent des e-mails de phishing. Les attaquants utilisent plusieurs leurres différents, un exemple étant une demande de vérification de la présentation liée. Cependant, le lien fourni est compromis et mène à un fichier militarisé. Les victimes peuvent recevoir une pièce jointe sous la forme d'un fichier Microsoft Publisher non sécurisé (.pub), un lien menant à des fichiers .pub avec des macros corrompues ou un PDF contaminé qui télécharge des fichiers JavaScript lorsqu'il est ouvert. L'infection par le logiciel malveillant est déclenchée lorsque le destinataire clique sur les liens contenus dans l'e-mail.

Les campagnes Screentime qui ont été observées utilisaient une chaîne d'infection à plusieurs étapes. Pour assurer la persistance sur les appareils piratés, les acteurs de la menace TA886 ont d'abord déployé une charge utile nommée WasabiSeed. Cette charge utile sert de point d'ancrage aux attaquants pour ensuite infecter le système avec le logiciel malveillant Screenshotter.

Une fois le système infecté, le logiciel malveillant Screenshotter commence à prendre des captures d'écran du bureau au format d'image JPG et à les transmettre aux cybercriminels. Les captures d'écran sont ensuite méticuleusement examinées par les acteurs de la menace, qui utilisent les informations collectées pour décider de leurs prochains mouvements.