Kendisini TA886 olarak tanıtan yeni bir bilgisayar korsanı, bulaştığı sistemlerde gözetleme ve veri hırsızlığı yapmak için yeni özel kötü amaçlı yazılım aracı "Screenshotter" ile ABD ve Almanya'daki kuruluşları hedef alıyor.
BleepingComputer'a göre, daha önce bilinmeyen bu faaliyet kümesi ilk olarak Ekim 2022'de ABD merkezli güvenlik firması Proofpoint tarafından keşfedildi.
Bilgisayar korsanının motivasyonunun para olduğu ve hedefin daha fazla izinsiz giriş için yeterince değerli olup olmadığını belirlemek için ihlal edilen sistemlerin ön değerlendirmesini yaptığı görülüyor.
Raporda ayrıca, bilgisayar korsanının kötü amaçlı makrolar içeren Microsoft Publisher (.pub) ekleri, makrolar içeren .pub dosyalarına bağlantı veren URL'ler veya tehlikeli JavaScript dosyalarını indiren URL'ler içeren PDF'ler içeren kimlik avı e-postalarını kullanarak kurbanları hedef aldığı belirtiliyor.
Güvenlik firması Aralık 2022'de TA886 ile gönderilen e-postaların sayısının katlanarak arttığını ve Ocak 2023'te de artmaya devam ettiğini bildirdi. E-postalar hedefe bağlı olarak İngilizce ya da Almanca yazılmıştır.
Bu e-postaların alıcıları URL'lere tıklarsa, TA886 tarafından kullanılan yeni kötü amaçlı yazılım aracı "Screenshotter" ın indirilmesi ve çalıştırılmasıyla sonuçlanan çok adımlı bir saldırı zinciri başlatılır.
Bu araç, kurbanın makinesinden JPG ekran görüntüleri alır ve bunları incelenmek üzere tehdit aktörünün sunucusuna gönderir.
Raporda, saldırganların daha sonra kurbanın değerini belirlemek için bu ekran görüntülerini manuel olarak incelediği belirtildi.
Proofpoint, TA886'nın saldırılarda aktif olarak yer aldığını, çalınan verileri analiz ettiğini ve farklı zaman dilimlerinde tipik bir iş gününe karşılık gelen zamanlarda kötü amaçlı yazılımına komutlar gönderdiğini söylüyor.