Descripción de la Tecnica
Screen Capture es una técnica utilizada por actores maliciosos para capturar imágenes de la pantalla del sistema operativo durante una operación de ciberataque. Este método permite a los atacantes recolectar información sensible, como contraseñas, documentos o actividades en tiempo real, especialmente en entornos post-compromiso. La técnica puede ser parte de herramientas de acceso remoto o implementada mediante utilidades nativas del sistema.
Como Funciona
La captura de pantalla se logra mediante funciones integradas del sistema o APIs específicas, como CopyFromScreen en .NET, xwd en Linux o screencapture en macOS. Estas herramientas permiten a los atacantes almacenar o transmitir imágenes de la pantalla, lo que puede ser utilizado para análisis forense, exfiltración de datos o planificación de futuras acciones. La técnica está catalogada como T1113 en el MITRE ATT&CK.
Actores que la Utilizan
Esta técnica se ha asociado con actores maliciosos que buscan obtener información crítica durante operaciones de compromiso. Aunque no se especifican grupos particulares, es común que sea utilizada por amenazas cibernéticas avanzadas para monitorear actividades en sistemas comprometidos.
Detección
La detección de capturas de pantalla requerida implica monitorear llamadas a APIs relacionadas con la captura de imágenes, analizar registros de sistema para anomalías y revisar comportamientos inusuales en usuarios o procesos. Herramientas basadas en la detección de amenazas (EDD) pueden identificar patrones de uso no autorizado de estas funciones.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo, se recomienda restringir el acceso a APIs de captura de pantalla, implementar monitoreo continuo de actividades anómalas y asegurar que solo usuarios autorizados tengan permisos para usar funciones críticas. Además, se debe mantener actualización de sistemas operativos y utilizar soluciones de seguridad basadas en la detección de amenazas (EDD) para identificar comportamientos sospechosos.