NightClub Malware knyttet til MoustachedBouncer Threat Actor

Malwaren kendt som NightClub besidder spyware og datatyveri. Dette ondsindede program findes i mindst fire versioner, hvor den tidligste variant går tilbage til 2014.

NightClub-malwaren er ansat af en trusselsaktør ved navn MoustachedBouncer. Denne gruppe har været aktiv i næsten ti år og retter sig overvejende mod udenlandske ambassader i Hviderusland. Bemærkelsesværdige mål omfatter ambassader fra fire lande: to i Europa og en hver i Afrika og Sydasien. Ud over NightClub bruger denne trusselsaktør også et andet sæt værktøjer kaldet Disco.

Den originale version af NightClub fokuserer på to primære funktioner: overvågning af filer og udtræk af data. Denne malware sender stjålet indhold til sin Command and Control-server (C&C) via e-mail. Tidligere iterationer var begrænset til at downloade filer i formater som Microsoft Word (.doc, .docx), Microsoft Excel (.xls, .xlsx) og PDF (.pdf) dokumenter.

Men versioner udgivet siden 2016 har mulighed for at hente ekstra ondsindede moduler fra deres C&C-server. Selvom malware med evnen til at infiltrere yderligere indhold i inficerede enheder i teorien kan resultere i forskellige former for infektion, har denne software i praksis en tendens til at fungere inden for visse begrænsninger.

NightClub-angreb initieret siden 2020 introducerer et bagdørsmodul samt moduler til keylogging (optagelse af indtastede data), tage skærmbilleder og optage lyd gennem integrerede eller tilsluttede mikrofoner.

Bagdørsmodulet har evnen til at udføre forskellige kommandoer, herunder (men ikke begrænset til): oprettelse af processer, kopiering og flytning af mapper og læsning, flytning og sletning af filer.

Det er vigtigt at bemærke, at malware-udviklere ofte forbedrer deres software og metoder over tid. Endvidere er NightClubs aktiviteter knyttet til politiske og geopolitiske angreb. Disse faktorer tyder på, at potentielle kommende NightClub-kampagner kan introducere forskellige eller yderligere funktioner og funktioner.

Hvordan distribueres infostealere normalt online?

Infostealere, også kendt som informationstyve eller datatyvere, er en type malware designet til at infiltrere et offers enhed, indsamle følsomme oplysninger og sende dem til ondsindede aktører. Disse malware-stammer har til formål at høste værdifulde data såsom loginoplysninger, økonomiske oplysninger, personlige oplysninger og mere. Infostealere kan distribueres via forskellige online metoder:

Ondsindede e-mailvedhæftede filer: Infostealere spredes ofte gennem phishing-e-mails, der indeholder inficerede vedhæftede filer. Disse vedhæftede filer kan være forklædt som dokumenter (f.eks. PDF'er, Word-filer), regneark eller eksekverbare filer. Når offeret åbner den vedhæftede fil, bliver malwaren eksekveret, og enheden bliver kompromitteret.

Ondsindede links i e-mails: Phishing-e-mails kan også indeholde links til ondsindede websteder. Ved at klikke på disse links kan det føre til drive-by downloads, hvor malwaren automatisk downloades og udføres uden brugerens viden.

Malvertising: Infostealers kan leveres gennem ondsindede annoncer (malvertising), der vises på legitime websteder. Disse annoncer kan føre brugere til websteder, der hoster udnyttelsessæt, der er i stand til at levere malwaren til sårbare enheder.

Kompromitterede eller falske websteder: Cyberkriminelle kan oprette falske websteder eller kompromittere legitime websteder til at hoste ondsindet software. Brugere, der besøger disse websteder, kunne ubevidst downloade og installere infostealere.

Freeware og cracket software: Cyberkriminelle kan samle infostealere med cracket software eller piratkopieret indhold. Når brugere downloader og installerer disse filer, installerer de utilsigtet malwaren.

Drive-by-downloads: Drive-by-downloads forekommer, når et besøg på et kompromitteret eller ondsindet websted udløser den automatiske download og installation af malwaren på brugerens enhed.

Ondsindede fildelingsnetværk: Infostealere kan distribueres gennem fildelingsnetværk, især dem, der hoster piratkopieret software eller indhold. Brugere, der downloader og kører disse filer, kan ubevidst udføre malwaren.