NightClub-Malware im Zusammenhang mit MoustachedBouncer Threat Actor

Die als NightClub bekannte Malware verfügt über Spyware- und Datendiebstahlfähigkeiten. Dieses Schadprogramm existiert in mindestens vier Versionen, wobei die früheste Variante aus dem Jahr 2014 stammt.

Die NightClub-Malware wird von einem Bedrohungsakteur namens MoustachedBouncer eingesetzt. Diese Gruppe ist seit fast zehn Jahren aktiv und hat es vor allem auf ausländische Botschaften in Weißrussland abgesehen. Zu den bemerkenswerten Zielen zählen Botschaften aus vier Ländern: zwei in Europa und jeweils eine in Afrika und Südasien. Zusätzlich zu NightClub verwendet dieser Bedrohungsakteur auch eine andere Reihe von Tools, die als Disco bezeichnet werden.

Die Originalversion von NightClub konzentriert sich auf zwei Hauptfunktionen: die Überwachung von Dateien und das Extrahieren von Daten. Diese Malware sendet gestohlene Inhalte per E-Mail an ihren Command and Control (C&C)-Server. Frühere Versionen beschränkten sich auf das Herunterladen von Dateien in Formaten wie Microsoft Word (.doc, .docx), Microsoft Excel (.xls, .xlsx) und PDF-Dokumenten (.pdf).

Allerdings verfügen die seit 2016 veröffentlichten Versionen über die Möglichkeit, zusätzliche Schadmodule von ihrem C&C-Server abzurufen. Während Malware mit der Fähigkeit, zusätzliche Inhalte in infizierte Geräte einzuschleusen, theoretisch zu verschiedenen Infektionsformen führen kann, unterliegt diese Software in der Praxis tendenziell bestimmten Einschränkungen.

Bei NightClub-Angriffen seit 2020 werden ein Backdoor-Modul sowie Module zum Keylogging (Erfassen eingegebener Daten), zum Erstellen von Screenshots und zum Aufzeichnen von Audio über integrierte oder angeschlossene Mikrofone eingeführt.

Das Backdoor-Modul kann verschiedene Befehle ausführen, darunter (aber nicht beschränkt auf): Prozesse erstellen, Verzeichnisse kopieren und verschieben sowie Dateien lesen, verschieben und löschen.

Es ist wichtig zu beachten, dass Malware-Entwickler ihre Software und Methoden häufig im Laufe der Zeit verbessern. Darüber hinaus sind die Aktivitäten von NightClub mit politischen und geopolitischen Angriffen verbunden. Diese Faktoren deuten darauf hin, dass potenzielle bevorstehende NightClub-Kampagnen möglicherweise andere oder zusätzliche Funktionen und Features einführen.

Wie werden Infostealer normalerweise online verbreitet?

Infostealer, auch Informationsdiebstahler oder Datendiebstahler genannt, sind eine Art von Malware, die darauf abzielt, das Gerät eines Opfers zu infiltrieren, vertrauliche Informationen zu sammeln und diese an böswillige Akteure zu senden. Diese Malware-Stämme zielen darauf ab, wertvolle Daten wie Anmeldeinformationen, Finanzinformationen, persönliche Daten und mehr zu sammeln. Infostealer können über verschiedene Online-Methoden verbreitet werden:

Schädliche E-Mail-Anhänge: Infostealer verbreiten sich häufig über Phishing-E-Mails, die infizierte Anhänge enthalten. Diese Anhänge können als Dokumente (z. B. PDFs, Word-Dateien), Tabellenkalkulationen oder ausführbare Dateien getarnt sein. Sobald das Opfer den Anhang öffnet, wird die Malware ausgeführt und das Gerät wird kompromittiert.

Schädliche Links in E-Mails: Phishing-E-Mails können auch Links zu schädlichen Websites enthalten. Das Klicken auf diese Links kann zu Drive-by-Downloads führen, bei denen die Malware ohne Wissen des Benutzers automatisch heruntergeladen und ausgeführt wird.

Malvertising: Infostealer können durch böswillige Werbung (Malvertising) verbreitet werden, die auf legitimen Websites angezeigt wird. Diese Anzeigen führen Benutzer möglicherweise zu Websites, auf denen Exploit-Kits gehostet werden, mit denen die Malware auf anfällige Geräte übertragen werden kann.

Kompromittierte oder gefälschte Websites: Cyberkriminelle können gefälschte Websites erstellen oder legitime Websites kompromittieren, um schädliche Software zu hosten. Benutzer, die diese Websites besuchen, könnten unwissentlich Infostealer herunterladen und installieren.

Freeware und gecrackte Software: Cyberkriminelle können Infostealer mit gecrackter Software oder Raubkopien bündeln. Wenn Benutzer diese Dateien herunterladen und installieren, installieren sie versehentlich die Malware.

Drive-by-Downloads: Drive-by-Downloads treten auf, wenn der Besuch einer kompromittierten oder bösartigen Website den automatischen Download und die Installation der Malware auf dem Gerät des Benutzers auslöst.

Schädliche Filesharing-Netzwerke: Infostealer können über Filesharing-Netzwerke verbreitet werden, insbesondere solche, die Raubkopien von Software oder Inhalten hosten. Benutzer, die diese Dateien herunterladen und ausführen, führen möglicherweise unwissentlich die Malware aus.