Naktinio klubo kenkėjiška programa, susieta su „MoustachedBouncer“ grėsmės veikėju

Kenkėjiška programa, žinoma kaip NightClub, turi šnipinėjimo programų ir duomenų vagystės galimybes. Šios kenkėjiškos programos yra mažiausiai keturios versijos, o seniausias variantas yra 2014 m.

„NightClub“ kenkėjišką programą naudoja grėsmės veikėjas, vardu MoustachedBouncer. Ši grupė veikia beveik dešimt metų ir daugiausia taikosi į užsienio šalių ambasadas Baltarusijoje. Žymūs taikiniai yra keturių šalių ambasados: dvi Europoje ir po vieną Afrikoje bei Pietų Azijoje. Be naktinio klubo, šis grėsmės veikėjas taip pat naudoja kitą įrankių rinkinį, vadinamą diskoteka.

Originalioje NightClub versijoje daugiausia dėmesio skiriama dviem pagrindinėms funkcijoms: failų stebėjimui ir duomenų ištraukimui. Ši kenkėjiška programa siunčia apiplėštą turinį į savo komandų ir valdymo (C&C) serverį el. paštu. Ankstesnės iteracijos apsiribojo tokių formatų failų kaip Microsoft Word (.doc, .docx), Microsoft Excel (.xls, .xlsx) ir PDF (.pdf) atsisiuntimu.

Tačiau nuo 2016 m. išleistos versijos turi galimybę gauti papildomų kenkėjiškų modulių iš savo C&C serverio. Nors teoriškai kenkėjiškos programos, galinčios įsiskverbti į užkrėstus įrenginius papildomo turinio, gali sukelti įvairių formų užkrėtimą, praktiškai ši programinė įranga paprastai veikia laikantis tam tikrų apribojimų.

Naktinio klubo atakos, pradėtos nuo 2020 m., pristato užpakalinių durų modulį, taip pat modulius, skirtus klavišų registravimui (įvestų duomenų fiksavimui), ekrano kopijų darymui ir garso įrašymui per integruotus arba prijungtus mikrofonus.

Užpakalinių durų modulis turi galimybę vykdyti įvairias komandas, įskaitant (bet tuo neapsiribojant): procesų kūrimą, katalogų kopijavimą ir perkėlimą, failų skaitymą, perkėlimą ir trynimą.

Svarbu pažymėti, kad kenkėjiškų programų kūrėjai laikui bėgant dažnai tobulina savo programinę įrangą ir metodikas. Be to, naktinio klubo veikla yra susijusi su politinėmis ir geopolitinėmis atakomis. Šie veiksniai rodo, kad galimos būsimos naktinio klubo kampanijos gali pristatyti kitokias arba papildomas funkcijas ir funkcijas.

Kaip „Infostealers“ paprastai platinami internete?

Informacijos vagystės, taip pat žinomos kaip informacijos vagystės arba duomenų vagystės, yra kenkėjiškų programų tipas, skirtas įsiskverbti į aukos įrenginį, rinkti neskelbtiną informaciją ir siųsti ją piktavaliams veikėjams. Šių kenkėjiškų programų padermių tikslas yra surinkti vertingus duomenis, tokius kaip prisijungimo duomenys, finansinė informacija, asmeninė informacija ir kt. Infostealeriai gali būti platinami įvairiais internetiniais būdais:

Kenkėjiški el. pašto priedai: informacijos vagystės dažnai plinta per sukčiavimo el. laiškus, kuriuose yra užkrėstų priedų. Šie priedai gali būti užmaskuoti kaip dokumentai (pvz., PDF, Word failai), skaičiuoklės arba vykdomieji failai. Kai auka atidaro priedą, kenkėjiška programa paleidžiama ir įrenginys pažeidžiamas.

Kenkėjiškos nuorodos el. laiškuose: sukčiavimo el. laiškuose taip pat gali būti nuorodų į kenkėjiškas svetaines. Spustelėjus šias nuorodas gali būti atsisiunčiama automatiškai, kai kenkėjiška programa automatiškai atsisiunčiama ir vykdoma be vartotojo žinios.

Klaidinga reklama: informacijos vagystė gali būti pristatyta naudojant kenkėjiškas reklamas (netinkamą reklamą), rodomą teisėtose svetainėse. Šie skelbimai gali nukreipti naudotojus į svetaines, kuriose yra išnaudojimo rinkiniai, galintys pateikti kenkėjišką programą į pažeidžiamus įrenginius.

Pažeistos arba netikros svetainės: kibernetiniai nusikaltėliai gali kurti netikras svetaines arba pažeisti teisėtas svetaines, kad priglobtų kenkėjišką programinę įrangą. Vartotojai, kurie lankosi šiose svetainėse, gali nesąmoningai atsisiųsti ir įdiegti infostealers.

Nemokama programinė įranga ir nulaužta programinė įranga: kibernetiniai nusikaltėliai gali susieti informacijos vagysčius su nulaužta programine įranga arba piratiniu turiniu. Kai vartotojai atsisiunčia ir įdiegia šiuos failus, jie netyčia įdiegia kenkėjišką programą.

Atsisiuntimai pagal vairuotoją: atsisiuntimai vyksta, kai lankantis pažeistoje ar kenkėjiškoje svetainėje automatiškai atsisiunčiama ir įdiegiama kenkėjiška programa vartotojo įrenginyje.

Kenkėjiški failų bendrinimo tinklai: „Infostealers“ gali būti platinami per failų bendrinimo tinklus, ypač tuos, kuriuose yra piratinės programinės įrangos ar turinio. Vartotojai, kurie atsisiunčia ir paleidžia šiuos failus, gali nesąmoningai paleisti kenkėjišką programą.