Screenshotter Malware Campaign se dirige a las víctimas después de la creación de perfiles

189

Los investigadores advirtieron a los usuarios sobre una nueva campaña maliciosa que escanea y perfila a las posibles víctimas antes de atacar. Identificado como «Screenshotter», el malware toma capturas de pantalla en las máquinas de las víctimas para compartirlas con los atacantes.

Captura de pantalla de la campaña antimalware Active In The Wild

Según un artículo reciente de Proofpoint, su equipo de investigación observó una campaña maliciosa en la naturaleza que perfila a las posibles víctimas.

La campaña, identificada como «Screentime», parece tener una motivación financiera e involucra varios programas de malware para realizar diversas actividades.

Uno de ellos incluye el «Screenshotter» que toma y comparte capturas de pantalla de las máquinas de las víctimas con los atacantes. Mientras que el otro malware es el instalador WasabiSeed que ejecuta un script VBS integrado para descargar Screenshotter y otras cargas útiles adicionales. Además, WasabiSeed también ayuda a los actores de amenazas a obtener acceso permanente al dispositivo víctima.

En resumen, el ataque comienza con correos electrónicos de phishing enviados a la organización objetivo. Para atraer empleados, los correos electrónicos incluyen líneas de asunto y mensajes que transmitan un sentimiento corporativo, como pedirle al destinatario que vea una presentación.

Como siempre, los correos electrónicos incluyen la URL maliciosa, que activa la descarga del archivo JavaScript. Si la víctima hace clic y se ejecuta JavaScript, descarga WasabiSeed, seguido del malware Screenshotter.

Después de recibir las capturas de pantalla de la máquina víctima, los actores de amenazas analizan si proceden con el ataque. Si la víctima parece lucrativa, el atacante instala otras cargas útiles para ejecutar el ataque, como el bot AHK, que descarga el generador de perfiles de dominio y el ladrón de datos.

Además, el ataque también implica el despliegue de un ladrón de datos de la familia de malware Rhadamanthys. Puede robar información confidencial, como credenciales almacenadas, cookies web, billeteras criptográficas, clientes FTP, cuentas de Telegram y Steam y configuraciones de VPN.

Los investigadores compartieron un análisis técnico detallado de la campaña en su publicación.

Posible origen ruso

Los actores de amenazas detrás de esta campaña, identificados como TA886, aparentemente tienen un origen ruso, dada la presencia del idioma ruso en los códigos.

Además, las campañas, que han estado en curso desde octubre de 2022, generalmente se dirigen a organizaciones en los Estados Unidos y Alemania.

Si bien las campañas parecen motivadas financieramente, los investigadores no descartan la posibilidad de ciberespionaje asociado con estos ataques.

Háganos saber sus pensamientos en los comentarios.

Fuente