Malware NightClub collegato all'attore della minaccia MoustachedBouncer

Il malware noto come NightClub possiede capacità di spyware e furto di dati. Questo programma dannoso esiste in almeno quattro versioni, con la prima variante che risale al 2014.

Il malware NightClub è impiegato da un attore di minacce chiamato MoustachedBouncer. Questo gruppo è attivo da quasi dieci anni e si rivolge prevalentemente alle ambasciate straniere in Bielorussia. Obiettivi degni di nota includono ambasciate di quattro paesi: due in Europa e una in Africa e in Asia meridionale. Oltre a NightClub, questo attore di minacce utilizza anche un altro set di strumenti denominato Disco.

La versione originale di NightClub si concentra su due funzioni principali: il monitoraggio dei file e l'estrazione dei dati. Questo malware invia contenuti rubati al suo server di comando e controllo (C&C) tramite e-mail. Le iterazioni precedenti erano limitate al download di file di formati come documenti Microsoft Word (.doc, .docx), Microsoft Excel (.xls, .xlsx) e PDF (.pdf).

Tuttavia, le versioni rilasciate dal 2016 possiedono la capacità di recuperare moduli dannosi aggiuntivi dal proprio server C&C. Mentre in teoria, il malware con la capacità di infiltrare contenuti aggiuntivi nei dispositivi infetti potrebbe provocare varie forme di infezione, in pratica, questo software tende a operare entro determinati limiti.

Gli attacchi NightClub avviati dal 2020 introducono un modulo backdoor, nonché moduli per il keylogging (acquisizione di dati digitati), acquisizione di schermate e registrazione audio tramite microfoni integrati o collegati.

Il modulo backdoor ha la capacità di eseguire diversi comandi, inclusi (ma non limitati a): creazione di processi, copia e spostamento di directory e lettura, spostamento e cancellazione di file.

È importante notare che gli sviluppatori di malware spesso migliorano il loro software e le loro metodologie nel tempo. Inoltre, le attività di NightClub sono legate ad attacchi politici e geopolitici. Questi fattori suggeriscono che le potenziali campagne NightClub in arrivo potrebbero introdurre funzionalità e caratteristiche diverse o aggiuntive.

Come vengono solitamente distribuiti online gli infostealer?

Gli infostealer, noti anche come ladri di informazioni o ladri di dati, sono un tipo di malware progettato per infiltrarsi nel dispositivo di una vittima, raccogliere informazioni sensibili e inviarle a malintenzionati. Questi ceppi di malware mirano a raccogliere dati preziosi come credenziali di accesso, informazioni finanziarie, dettagli personali e altro. Gli infostealer possono essere distribuiti attraverso vari metodi online:

Allegati e-mail dannosi: gli infostealer spesso si diffondono tramite e-mail di phishing che contengono allegati infetti. Questi allegati potrebbero essere mascherati da documenti (ad es. PDF, file Word), fogli di calcolo o file eseguibili. Una volta che la vittima apre l'allegato, il malware viene eseguito e il dispositivo viene compromesso.

Collegamenti dannosi nelle e-mail: le e-mail di phishing potrebbero includere anche collegamenti a siti Web dannosi. Fare clic su questi collegamenti può portare a download drive-by, in cui il malware viene scaricato ed eseguito automaticamente all'insaputa dell'utente.

Malvertising: gli infostealer possono essere forniti tramite annunci pubblicitari dannosi (malvertising) visualizzati su siti Web legittimi. Questi annunci potrebbero indirizzare gli utenti a siti Web che ospitano kit di exploit in grado di fornire malware a dispositivi vulnerabili.

Siti Web compromessi o falsi: i criminali informatici potrebbero creare siti Web falsi o compromettere quelli legittimi per ospitare software dannoso. Gli utenti che visitano questi siti potrebbero inconsapevolmente scaricare e installare infostealer.

Software freeware e crackato: i criminali informatici possono raggruppare infostealer con software crackato o contenuto piratato. Quando gli utenti scaricano e installano questi file, installano inavvertitamente il malware.

Download drive-by: i download drive-by si verificano quando si visita un sito Web compromesso o dannoso che attiva il download e l'installazione automatici del malware sul dispositivo dell'utente.

Reti dannose per la condivisione di file: gli infostealer possono essere distribuiti tramite reti di condivisione di file, in particolare quelle che ospitano software o contenuti piratati. Gli utenti che scaricano ed eseguono questi file potrebbero eseguire inconsapevolmente il malware.