Malware de captura de pantalla
El malware Screenshotter es una amenaza personalizada recientemente descubierta y diseñada con el propósito de vigilancia y robo de datos. El grupo ciberdelincuente detrás de esta amenaza es rastreado como TA886, y está utilizando la herramienta amenazante para apuntar a personas en los Estados Unidos y Alemania.
Según los investigadores, el malware Screenshotter se crea para evaluar a las posibles víctimas antes de lanzar un ataque a gran escala. Esto permite que TA886 determine si la recompensa potencial del ataque vale la pena. El malware captura capturas de pantalla del dispositivo de la víctima, que luego se pueden usar para recopilar información sobre las actividades y preferencias de la víctima.
La campaña de malware Screenshotter se identificó por primera vez en octubre de 2022, pero su actividad aumentó significativamente en 2023. Esto destaca la evolución continua del malware y la necesidad de que las personas permanezcan alerta y proactivas para proteger sus dispositivos e información personal. Los investigadores de ciberseguridad están agrupando las operaciones de ataque que involucran a Screenshotter bajo el nombre de campañas Screentime.
Campaña de Ataque y Vector de Infección para la Entrega del Malware Screenshotter
Los objetivos de los ciberdelincuentes reciben correos electrónicos de phishing. Los atacantes usan varios señuelos diferentes, siendo un ejemplo una solicitud para verificar la presentación vinculada. Sin embargo, el enlace proporcionado está comprometido y conduce a un archivo armado. Las víctimas pueden recibir un archivo adjunto en forma de un archivo de Microsoft Publisher (.pub) no seguro, un enlace que conduce a archivos .pub con macros dañadas o un PDF contaminado que descarga archivos JavaScript cuando se abre. La infección de malware se inicia cuando el destinatario hace clic en los enlaces del correo electrónico.
Las campañas de Screentime que se observaron emplearon una cadena de infección de múltiples etapas. Para garantizar la persistencia en los dispositivos violados, los actores de amenazas TA886 primero implementaron una carga llamada WasabiSeed. Esta carga útil sirve como punto de apoyo para que los atacantes infecten el sistema con el malware Screenshotter.
Una vez que el sistema está infectado, el malware Screenshotter comienza a tomar capturas de pantalla del escritorio en formato de imagen JPG y las transmite a los ciberdelincuentes. Las capturas de pantalla luego son revisadas meticulosamente por los actores de amenazas, quienes usan la información recopilada para decidir sus próximos movimientos.
