Το κακόβουλο λογισμικό NightClub συνδέεται με τον ηθοποιό απειλών MoustachedBouncer

Το κακόβουλο λογισμικό γνωστό ως NightClub διαθέτει spyware και δυνατότητες κλοπής δεδομένων. Αυτό το κακόβουλο πρόγραμμα υπάρχει σε τουλάχιστον τέσσερις εκδόσεις, με την παλαιότερη παραλλαγή να χρονολογείται από το 2014.

Το κακόβουλο λογισμικό NightClub χρησιμοποιείται από έναν ηθοποιό απειλών που ονομάζεται MoustachedBouncer. Αυτή η ομάδα δραστηριοποιείται σχεδόν δέκα χρόνια και στοχεύει κυρίως ξένες πρεσβείες στη Λευκορωσία. Αξιοσημείωτοι στόχοι περιλαμβάνουν πρεσβείες από τέσσερις χώρες: δύο στην Ευρώπη και από μία στην Αφρική και τη Νότια Ασία. Εκτός από το NightClub, αυτός ο ηθοποιός απειλής χρησιμοποιεί επίσης ένα άλλο σύνολο εργαλείων που αναφέρονται ως Disco.

Η αρχική έκδοση του NightClub εστιάζει σε δύο κύριες λειτουργίες: την παρακολούθηση αρχείων και την εξαγωγή δεδομένων. Αυτό το κακόβουλο λογισμικό στέλνει κλοπιμαία στον διακομιστή του Command and Control (C&C) μέσω email. Οι προηγούμενες επαναλήψεις περιορίζονταν στη λήψη αρχείων μορφών όπως εγγράφων Microsoft Word (.doc, .docx), Microsoft Excel (.xls, .xlsx) και PDF (.pdf).

Ωστόσο, οι εκδόσεις που κυκλοφόρησαν από το 2016 διαθέτουν τη δυνατότητα λήψης επιπλέον κακόβουλων λειτουργικών μονάδων από τον διακομιστή C&C τους. Ενώ θεωρητικά, κακόβουλο λογισμικό με δυνατότητα διείσδυσης πρόσθετου περιεχομένου σε μολυσμένες συσκευές θα μπορούσε να οδηγήσει σε διάφορες μορφές μόλυνσης, στην πράξη, αυτό το λογισμικό τείνει να λειτουργεί εντός ορισμένων περιορισμών.

Οι επιθέσεις στο NightClub που ξεκίνησαν από το 2020 εισάγουν μια μονάδα backdoor, καθώς και μονάδες για καταγραφή πληκτρολογίου (λήψη πληκτρολογημένων δεδομένων), λήψη στιγμιότυπων οθόνης και εγγραφή ήχου μέσω ενσωματωμένων ή προσαρτημένων μικροφώνων.

Η μονάδα backdoor έχει τη δυνατότητα να εκτελεί διάφορες εντολές, όπως (αλλά δεν περιορίζεται σε): δημιουργία διαδικασιών, αντιγραφή και μετεγκατάσταση καταλόγων και ανάγνωση, μετακίνηση και διαγραφή αρχείων.

Είναι σημαντικό να σημειωθεί ότι οι προγραμματιστές κακόβουλου λογισμικού συχνά βελτιώνουν το λογισμικό και τις μεθοδολογίες τους με την πάροδο του χρόνου. Επιπλέον, οι δραστηριότητες του NightClub συνδέονται με πολιτικές και γεωπολιτικές επιθέσεις. Αυτοί οι παράγοντες υποδηλώνουν ότι πιθανές επερχόμενες καμπάνιες NightClub ενδέχεται να εισάγουν διαφορετικές ή πρόσθετες λειτουργίες και δυνατότητες.

Πώς διανέμονται συνήθως οι Infostealers στο Διαδίκτυο;

Οι Infostealers, επίσης γνωστοί ως κλέφτες πληροφοριών ή κλέφτες δεδομένων, είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί για να διεισδύσει στη συσκευή ενός θύματος, να συλλέγει ευαίσθητες πληροφορίες και να τις στέλνει σε κακόβουλους παράγοντες. Αυτά τα στελέχη κακόβουλου λογισμικού στοχεύουν στη συλλογή πολύτιμων δεδομένων, όπως διαπιστευτήρια σύνδεσης, οικονομικές πληροφορίες, προσωπικά στοιχεία και πολλά άλλα. Οι Infostealers μπορούν να διανεμηθούν μέσω διαφόρων διαδικτυακών μεθόδων:

Κακόβουλα συνημμένα email: Οι infostealers συχνά διαδίδονται μέσω μηνυμάτων ηλεκτρονικού ψαρέματος που περιέχουν μολυσμένα συνημμένα. Αυτά τα συνημμένα ενδέχεται να είναι μεταμφιεσμένα ως έγγραφα (π.χ. PDF, αρχεία Word), υπολογιστικά φύλλα ή εκτελέσιμα αρχεία. Μόλις το θύμα ανοίξει το συνημμένο, το κακόβουλο λογισμικό εκτελείται και η συσκευή παραβιάζεται.

Κακόβουλοι σύνδεσμοι σε μηνύματα ηλεκτρονικού ταχυδρομείου: Τα μηνύματα ηλεκτρονικού ψαρέματος ενδέχεται επίσης να περιλαμβάνουν συνδέσμους προς κακόβουλους ιστότοπους. Κάνοντας κλικ σε αυτούς τους συνδέσμους μπορεί να οδηγηθούν σε λήψεις μέσω οδηγού, όπου το κακόβουλο λογισμικό γίνεται αυτόματα λήψη και εκτέλεση χωρίς τη γνώση του χρήστη.

Κακόβουλη διαφήμιση: Οι Infostealers μπορούν να παραδοθούν μέσω κακόβουλων διαφημίσεων (κακόποιων διαφημίσεων) που εμφανίζονται σε νόμιμους ιστότοπους. Αυτές οι διαφημίσεις μπορεί να οδηγήσουν τους χρήστες σε ιστότοπους που φιλοξενούν κιτ εκμετάλλευσης ικανά να μεταδώσουν το κακόβουλο λογισμικό σε ευάλωτες συσκευές.

Παραβιασμένοι ή ψεύτικοι ιστότοποι: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να δημιουργήσουν ψεύτικους ιστότοπους ή να παραβιάσουν νόμιμες για να φιλοξενήσουν κακόβουλο λογισμικό. Οι χρήστες που επισκέπτονται αυτούς τους ιστότοπους θα μπορούσαν εν αγνοία τους να κατεβάσουν και να εγκαταστήσουν infostealers.

Δωρεάν λογισμικό και κατεστραμμένο λογισμικό: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να ομαδοποιήσουν τους κλοπές πληροφοριών με σπασμένο λογισμικό ή πειρατικό περιεχόμενο. Όταν οι χρήστες κάνουν λήψη και εγκατάσταση αυτών των αρχείων, εγκαθιστούν κατά λάθος το κακόβουλο λογισμικό.

Λήψεις Drive-by: Οι λήψεις Drive-by πραγματοποιούνται όταν επισκέπτεστε έναν παραβιασμένο ή κακόβουλο ιστότοπο που ενεργοποιεί την αυτόματη λήψη και εγκατάσταση του κακόβουλου λογισμικού στη συσκευή του χρήστη.

Κακόβουλα δίκτυα κοινής χρήσης αρχείων: Οι Infostealers μπορούν να διανεμηθούν μέσω δικτύων κοινής χρήσης αρχείων, ειδικά εκείνων που φιλοξενούν πειρατικό λογισμικό ή περιεχόμενο. Οι χρήστες που πραγματοποιούν λήψη και εκτέλεση αυτών των αρχείων ενδέχεται να εκτελέσουν εν αγνοία τους το κακόβουλο λογισμικό.