NightClub-malware gekoppeld aan MoustachedBouncer Threat Actor

De malware die bekend staat als NightClub beschikt over mogelijkheden voor spyware en gegevensdiefstal. Dit kwaadaardige programma bestaat in ten minste vier versies, waarvan de vroegste variant dateert uit 2014.

De NightClub-malware wordt gebruikt door een bedreigingsactor genaamd MoustachedBouncer. Deze groep is al bijna tien jaar actief en richt zich voornamelijk op buitenlandse ambassades in Wit-Rusland. Opvallende doelwitten zijn onder meer ambassades uit vier landen: twee in Europa en één in Afrika en Zuid-Azië. Naast NightClub maakt deze bedreigingsactor ook gebruik van een andere set tools die Disco wordt genoemd.

De originele versie van NightClub richt zich op twee hoofdfuncties: het bewaken van bestanden en het extraheren van gegevens. Deze malware stuurt gestolen inhoud via e-mail naar zijn Command and Control-server (C&C). Eerdere iteraties waren beperkt tot het downloaden van bestanden met formaten zoals Microsoft Word (.doc, .docx), Microsoft Excel (.xls, .xlsx) en PDF (.pdf) documenten.

Versies die sinds 2016 zijn uitgebracht, hebben echter de mogelijkheid om extra kwaadaardige modules van hun C&C-server op te halen. Hoewel in theorie malware met de mogelijkheid om extra inhoud in geïnfecteerde apparaten te infiltreren, kan leiden tot verschillende vormen van infectie, werkt deze software in de praktijk vaak binnen bepaalde beperkingen.

NightClub-aanvallen die sinds 2020 zijn gestart, introduceren een achterdeurmodule, evenals modules voor keylogging (vastleggen van getypte gegevens), het maken van schermafbeeldingen en het opnemen van audio via geïntegreerde of aangesloten microfoons.

De backdoor-module heeft de mogelijkheid om diverse opdrachten uit te voeren, waaronder (maar niet beperkt tot): het maken van processen, het kopiëren en verplaatsen van mappen en het lezen, verplaatsen en wissen van bestanden.

Het is belangrijk op te merken dat ontwikkelaars van malware hun software en methodologieën in de loop van de tijd vaak verbeteren. Bovendien houden de activiteiten van NightClub verband met politieke en geopolitieke aanvallen. Deze factoren suggereren dat mogelijke aankomende NightClub-campagnes andere of aanvullende functionaliteiten en functies kunnen introduceren.

Hoe worden Infostealers gewoonlijk online verspreid?

Infostealers, ook wel informatiestelers of datastelers genoemd, is een type malware dat is ontworpen om het apparaat van een slachtoffer te infiltreren, gevoelige informatie te verzamelen en naar kwaadwillende actoren te sturen. Deze malwarestammen zijn bedoeld om waardevolle gegevens te verzamelen, zoals inloggegevens, financiële informatie, persoonlijke gegevens en meer. Infostealers kunnen via verschillende online methoden worden verspreid:

Kwaadaardige e-mailbijlagen: Infostealers verspreiden zich vaak via phishing-e-mails die geïnfecteerde bijlagen bevatten. Deze bijlagen kunnen vermomd zijn als documenten (bijv. PDF's, Word-bestanden), spreadsheets of uitvoerbare bestanden. Zodra het slachtoffer de bijlage opent, wordt de malware uitgevoerd en raakt het apparaat in gevaar.

Schadelijke links in e-mails: phishing-e-mails kunnen ook links naar kwaadwillende websites bevatten. Het klikken op deze links kan leiden tot drive-by downloads, waarbij de malware automatisch wordt gedownload en uitgevoerd zonder medeweten van de gebruiker.

Malvertising: Infostealers kunnen worden geleverd via kwaadaardige advertenties (malvertising) die op legitieme websites worden weergegeven. Deze advertenties kunnen gebruikers naar websites leiden die exploitkits hosten die de malware op kwetsbare apparaten kunnen afleveren.

Gecompromitteerde of nepwebsites: Cybercriminelen kunnen nepwebsites maken of legitieme websites compromitteren om schadelijke software te hosten. Gebruikers die deze sites bezoeken, kunnen onbewust infostealers downloaden en installeren.

Freeware en gekraakte software: Cybercriminelen kunnen infostealers bundelen met gekraakte software of illegale inhoud. Wanneer gebruikers deze bestanden downloaden en installeren, installeren ze onbedoeld de malware.

Drive-by-downloads: Drive-by-downloads vinden plaats wanneer een bezoek aan een gecompromitteerde of kwaadaardige website de automatische download en installatie van de malware op het apparaat van de gebruiker activeert.

Kwaadaardige netwerken voor het delen van bestanden: Infostealers kunnen worden verspreid via netwerken voor het delen van bestanden, met name netwerken die illegale software of inhoud hosten. Gebruikers die deze bestanden downloaden en uitvoeren, kunnen onbewust de malware uitvoeren.