新型钓鱼活动在投放恶意载荷前截取屏幕截图

新型钓鱼攻击利用屏幕截图技术

关键要点

新型攻击手法

一项新型的钓鱼攻击展现出一种全新的恶意软件载荷，它允许攻击者截取受害者屏幕，判断其价值，并决定是否投放额外的恶意软件。研究人员指出，这项攻击已针对美国和德国的超过1000个组织。此次运动之所以独特，因其使用的恶意软件工具别具一格。

根据 Proofpoint Threat Research 的报告，该攻击活动归因于高级持续威胁组织 TA866。研究人员分析认为，这一系列攻击具有明显的财务动机，因此被称为“屏幕时间”Screentime，意指其利用截图技术作为攻击链的一部分。

Proofpoint 指出，这一攻击链之所以被视作新颖，主要在于它使用了此前在威胁生态中未曾观察到的恶意软件工具，而攻击者在投放后续载荷之前，利用被称为 Screenshotter 的恶意软件进行目标计算机的侦察。

攻击链流程

攻击者利用普通和自定工具截取屏幕，并在此基础上安装额外的僵尸网络和窃取恶意软件。攻击链的起始点是含恶意附件或网址的电子邮件，接着是名为 WasabiSeed 和 Screenshotter 的恶意软件。

研究人员观察到的后续活动包括 AHK Bot 和Rhadamanthys Stealer。Proofpoint 于 2022 年 10 月首次发现 TA866，该攻击活动一直持续到 2023 年。1 月 23 日和 24 日，Proofpoint 监测到数万封目标超过 1000 个组织的电子邮件。

研究人员指出，此次攻击的独特之处在于，近期观察的活动似乎具有财务动机，与网络犯罪目标紧密相关，而 TA866 的历史活动则与国家支持的间谍活动交叠。屏幕时间已在网络环境中被利用，Proofpoint 还观察到多个活动使用相同的攻击链。

“TA866 在决定是否针对目标投放额外载荷之前，会使用 Screenshotter 截取用户屏幕的照片，并手动审核这些照片，”研究人员通过电子邮件告诉 SC Media。

针对有价值的目标进行攻击

显然，用户必须达到某种价值，才会被认为值得投放额外的载荷。虽然近期活动显示出明显的财务动机，但 TA866 的一些历史活动包含间谍活动的特征。

关于攻击者的来源，研究人员告诉 SC Media，该攻击链中观察到了多个痕迹，包括代码中的俄语以及与典型的 9 到 5 工作时间相关的分析，这些时间包含了俄罗斯及其他国家。然而，Proofpoint 表示，这些因素单独并不足以高置信度地与某个国家或地理位置关联。

Netenrich 的首席威胁猎手 John Bambenek 补充说，核心上来说，将恶意软件交付的钓鱼邮件并不是新技术，但近年来，即使是网络犯罪者也开始投入类似之前仅由 APT高级持续威胁群体进行的调查。Bambenek 表示，攻击者知道他们的技术和工具越精确，经济收益的可能性就越大。

“电子邮件保护无疑很重要，尤其是对那些在电子邮件后续活动链中进行跟踪的供应商，”Bambenek 说。 “攻击者并不只是简单