هکرها شرکت های آمریکایی و آلمانی را هدف قرار می دهند و دسکتاپ قربانیان را با اسکرین شاتر رصد می کنند.
یک عامل تهدید ناشناخته قبلاً شرکتهایی را در ایالات متحده و آلمان با بدافزار سفارشی که برای سرقت اطلاعات محرمانه طراحی شده است هدف قرار داده است.
شرکت امنیتی Enterprise Proofpoint که در حال ردیابی فعالیت تحت نام Screentime است، گفت که این گروه که TA866 نام دارد احتمالا انگیزه مالی دارد.
این شرکت ارزیابی کرد: «TA866 یک بازیگر سازمانیافته است که میتواند حملات سنجیدهای را بر اساس در دسترس بودن ابزارهای سفارشی، توانایی و اتصالات برای خرید ابزار و خدمات از سایر فروشندگان و افزایش حجم فعالیت انجام دهد.
گفته میشود که کمپینهای راهاندازی شده توسط این تیم از حدود 3 اکتبر 2022، با حملات از طریق ایمیلهایی که حاوی یک پیوست آلوده شده یا URL است که منجر به بدافزار میشود، آغاز شدهاند. پیوستها از فایلهای ماکرو ناشر مایکروسافت گرفته تا فایلهای پیدیاف با نشانیهای اینترنتی که به فایلهای جاوا اسکریپت اشاره میکنند، هستند.
نفوذها همچنین از ربودن مکالمه برای ترغیب گیرندگان به کلیک بر روی URL های ظاهراً بی ضرری که زنجیره حمله چند مرحله ای را آغاز می کنند، استفاده کرده است.
صرف نظر از روش استفاده شده، اجرای فایل جاوا اسکریپت دانلود شده منجر به نصب کننده MSI می شود که یک VBScript با نام WasabiSeed را باز می کند، که به عنوان ابزاری برای دریافت بدافزار مرحله بعدی از یک سرور راه دور عمل می کند.
یکی از فایل های دانلود شده توسط WasabiSeed Screenshotter است، ابزاری که وظیفه دارد به صورت دوره ای از دسکتاپ قربانی عکس بگیرد و آن اطلاعات را به سرور فرمان و کنترل (C2) منتقل کند.
اکسل اف، محقق Proofpoint گفت: "این برای عامل تهدید در مرحله شناسایی و شناسایی قربانی مفید است."
یک عامل تهدید ناشناخته قبلاً شرکتهایی را در ایالات متحده و آلمان با بدافزار سفارشی که برای سرقت اطلاعات محرمانه طراحی شده است هدف قرار داده است.
شرکت امنیتی Enterprise Proofpoint که در حال ردیابی فعالیت تحت نام Screentime است، گفت که این گروه که TA866 نام دارد احتمالا انگیزه مالی دارد.
این شرکت ارزیابی کرد: «TA866 یک بازیگر سازمانیافته است که میتواند حملات سنجیدهای را بر اساس در دسترس بودن ابزارهای سفارشی، توانایی و اتصالات برای خرید ابزار و خدمات از سایر فروشندگان و افزایش حجم فعالیت انجام دهد.
گفته میشود که کمپینهای راهاندازی شده توسط این تیم از حدود 3 اکتبر 2022، با حملات از طریق ایمیلهایی که حاوی یک پیوست آلوده شده یا URL است که منجر به بدافزار میشود، آغاز شدهاند. پیوستها از فایلهای ماکرو ناشر مایکروسافت گرفته تا فایلهای پیدیاف با نشانیهای اینترنتی که به فایلهای جاوا اسکریپت اشاره میکنند، هستند.
نفوذها همچنین از ربودن مکالمه برای ترغیب گیرندگان به کلیک بر روی URL های ظاهراً بی ضرری که زنجیره حمله چند مرحله ای را آغاز می کنند، استفاده کرده است.
صرف نظر از روش استفاده شده، اجرای فایل جاوا اسکریپت دانلود شده منجر به نصب کننده MSI می شود که یک VBScript با نام WasabiSeed را باز می کند، که به عنوان ابزاری برای دریافت بدافزار مرحله بعدی از یک سرور راه دور عمل می کند.
یکی از فایل های دانلود شده توسط WasabiSeed Screenshotter است، ابزاری که وظیفه دارد به صورت دوره ای از دسکتاپ قربانی عکس بگیرد و آن اطلاعات را به سرور فرمان و کنترل (C2) منتقل کند.
اکسل اف، محقق Proofpoint گفت: "این برای عامل تهدید در مرحله شناسایی و شناسایی قربانی مفید است."