NightClub rosszindulatú program, amely a MoustachedBouncer Threat Actor-hoz kapcsolódik

A NightClub néven ismert rosszindulatú program kémprogramokkal és adatlopási képességekkel rendelkezik. Ennek a rosszindulatú programnak legalább négy verziója létezik, a legkorábbi változat 2014-ből származik.

A NightClub kártevőt egy MoustachedBouncer nevű fenyegetőző alkalmazza. Ez a csoport csaknem tíz éve működik, és elsősorban a fehéroroszországi külföldi nagykövetségeket veszi célba. A figyelemre méltó célpontok között szerepel négy ország nagykövetsége: kettő Európában, egy-egy afrikai és dél-ázsiai nagykövetség. A NightClub mellett ez a fenyegetett szereplő egy másik eszközkészletet is használ, amelyet Disco néven említenek.

A NightClub eredeti verziója két fő funkcióra összpontosít: a fájlok figyelésére és az adatok kinyerésére. Ez a rosszindulatú program ellopott tartalmat küld e-mailben a Command and Control (C&C) szerverére. A korábbi iterációk olyan formátumú fájlok letöltésére korlátozódtak, mint a Microsoft Word (.doc, .docx), a Microsoft Excel (.xls, .xlsx) és a PDF (.pdf) dokumentumok.

A 2016 óta kiadott verziók azonban képesek extra rosszindulatú modulok lekérésére a C&C szerverükről. Míg elméletben az olyan rosszindulatú programok, amelyek képesek további tartalmat beszivárogni a fertőzött eszközökbe, a fertőzés különféle formáit eredményezhetik, a gyakorlatban ez a szoftver bizonyos korlátok között működik.

A 2020 óta kezdeményezett NightClub támadások bevezetnek egy hátsó ajtó modult, valamint modulokat a billentyűzet naplózására (gépelt adatok rögzítésére), képernyőképek készítésére és hangrögzítésre integrált vagy csatlakoztatott mikrofonokon keresztül.

A hátsó ajtó modul különféle parancsok végrehajtására képes, beleértve (de nem kizárólagosan): folyamatok létrehozását, könyvtárak másolását és áthelyezését, valamint fájlok olvasását, áthelyezését és törlését.

Fontos megjegyezni, hogy a rosszindulatú programok fejlesztői idővel gyakran fejlesztik szoftvereiket és módszereiket. Ezenkívül a NightClub tevékenysége politikai és geopolitikai támadásokhoz kapcsolódik. Ezek a tényezők arra utalnak, hogy a lehetséges közelgő NightClub kampányok eltérő vagy további funkciókat és funkciókat vezetnek be.

Hogyan terjesztik az Infostealereket általában az interneten?

Az információlopók, más néven információlopók vagy adatlopók, olyan rosszindulatú programok, amelyeket arra terveztek, hogy behatoljanak az áldozat eszközére, érzékeny információkat gyűjtsenek, és elküldjék azokat rosszindulatú szereplőknek. Ezek a rosszindulatú programtörzsek célja értékes adatok, például bejelentkezési adatok, pénzügyi információk, személyes adatok és egyebek begyűjtésére. Az Infostealereket különféle online módszerekkel lehet terjeszteni:

Rosszindulatú e-mail mellékletek: Az infolopók gyakran adathalász e-maileken keresztül terjednek, amelyek fertőzött mellékleteket tartalmaznak. Ezek a mellékletek lehetnek dokumentumoknak (pl. PDF-eknek, Word-fájloknak), táblázatoknak vagy végrehajtható fájloknak álcázva. Amint az áldozat megnyitja a mellékletet, a rosszindulatú program végrehajtásra kerül, és az eszköz illetéktelenné válik.

Rosszindulatú hivatkozások e-mailekben: Az adathalász e-mailek rosszindulatú webhelyekre mutató hivatkozásokat is tartalmazhatnak. Az ezekre a linkekre kattintva meghajtó letöltésekhez vezethet, ahol a kártevő automatikusan letöltődik és a felhasználó tudta nélkül végrehajtódik.

Rosszindulatú reklámozás: Az infolopók a legális webhelyeken megjelenő rosszindulatú hirdetéseken keresztül (rosszindulatú hirdetések) juthatnak el. Ezek a hirdetések olyan webhelyekre vezethetik a felhasználókat, amelyek olyan exploit készleteket tartalmaznak, amelyek képesek a rosszindulatú programokat sebezhető eszközökre eljuttatni.

Feltört vagy hamis webhelyek: A kiberbűnözők hamis webhelyeket hozhatnak létre, vagy feltörhetik a legális webhelyeket rosszindulatú szoftverek tárolására. Az ezeket a webhelyeket felkereső felhasználók tudtukon kívül letölthetik és telepíthetik az infostealert.

Ingyenes és feltört szoftverek: A kiberbűnözők összekeverhetik az infolopókat feltört szoftverekkel vagy kalóztartalommal. Amikor a felhasználók letöltik és telepítik ezeket a fájlokat, véletlenül telepítik a rosszindulatú programot.

Drive-by Downloads: Drive-by letöltések akkor fordulnak elő, amikor egy feltört vagy rosszindulatú webhely meglátogatása elindítja a kártevő automatikus letöltését és telepítését a felhasználó eszközére.

Rosszindulatú fájlmegosztó hálózatok: Az Infostealers fájlmegosztó hálózatokon keresztül terjeszthető, különösen azokon, amelyek kalózszoftvert vagy tartalmat tárolnak. Azok a felhasználók, akik letöltik és futtatják ezeket a fájlokat, tudtukon kívül végrehajthatják a rosszindulatú programot.