Złośliwe oprogramowanie NightClub powiązane z aktorem zagrażającym MoustachedBouncer

Złośliwe oprogramowanie znane jako NightClub posiada możliwości spyware i kradzieży danych. Ten szkodliwy program istnieje w co najmniej czterech wersjach, z których najwcześniejsza pochodzi z 2014 roku.

Szkodliwe oprogramowanie NightClub jest wykorzystywane przez cyberprzestępcę o nazwie MoustachedBouncer. Grupa ta działa od prawie dziesięciu lat i bierze na cel głównie zagraniczne ambasady na Białorusi. Godne uwagi cele obejmują ambasady z czterech krajów: dwóch w Europie i po jednym w Afryce i Azji Południowej. Oprócz NightClub ten cyberprzestępca wykorzystuje także inny zestaw narzędzi określany jako Disco.

Oryginalna wersja NightClub skupia się na dwóch podstawowych funkcjach: monitorowaniu plików i wydobywaniu danych. To złośliwe oprogramowanie wysyła wykradzioną zawartość do swojego serwera dowodzenia i kontroli (C&C) za pośrednictwem poczty elektronicznej. Wcześniejsze iteracje ograniczały się do pobierania plików w formatach takich jak dokumenty Microsoft Word (.doc, .docx), Microsoft Excel (.xls, .xlsx) i PDF (.pdf).

Jednak wersje wydawane od 2016 roku posiadają możliwość pobierania dodatkowych złośliwych modułów z ich serwera C&C. Chociaż w teorii złośliwe oprogramowanie zdolne do infiltracji dodatkowej zawartości do zainfekowanych urządzeń może powodować różne formy infekcji, w praktyce oprogramowanie to działa z pewnymi ograniczeniami.

Ataki NightClub inicjowane od 2020 roku wprowadzają moduł backdoora, a także moduły keyloggera (przechwytywania wpisywanych danych), robienia zrzutów ekranu i nagrywania dźwięku przez zintegrowane lub dołączone mikrofony.

Moduł backdoora ma możliwość wykonywania różnych poleceń, w tym (między innymi): tworzenia procesów, kopiowania i przenoszenia katalogów oraz czytania, przenoszenia i kasowania plików.

Należy zauważyć, że twórcy złośliwego oprogramowania często ulepszają swoje oprogramowanie i metodologie w miarę upływu czasu. Ponadto działalność NightClub jest powiązana z atakami politycznymi i geopolitycznymi. Czynniki te sugerują, że potencjalne nadchodzące kampanie Klubów Nocnych mogą wprowadzać inne lub dodatkowe funkcje i funkcje.

W jaki sposób złodzieje informacji są zwykle dystrybuowani online?

Wykradacz informacji, znany również jako wykradacz informacji lub wykradacz danych, to rodzaj złośliwego oprogramowania zaprojektowanego do infiltracji urządzenia ofiary, zbierania poufnych informacji i wysyłania ich do złośliwych aktorów. Celem tych odmian złośliwego oprogramowania jest zbieranie cennych danych, takich jak dane logowania, informacje finansowe, dane osobowe i inne. Złodzieje informacji mogą być dystrybuowani za pomocą różnych metod online:

Złośliwe załączniki wiadomości e-mail: złodzieje informacji często rozprzestrzeniają się za pośrednictwem wiadomości phishingowych zawierających zainfekowane załączniki. Załączniki te mogą wyglądać jak dokumenty (np. pliki PDF, pliki programu Word), arkusze kalkulacyjne lub pliki wykonywalne. Gdy ofiara otworzy załącznik, złośliwe oprogramowanie zostaje uruchomione, a urządzenie zostaje przejęte.

Złośliwe łącza w wiadomościach e-mail: wiadomości phishingowe mogą również zawierać łącza do złośliwych stron internetowych. Kliknięcie tych linków może prowadzić do pobrań drive-by download, w których malware jest automatycznie pobierane i uruchamiane bez wiedzy użytkownika.

Malvertising: Złośliwe reklamy mogą być dostarczane poprzez złośliwe reklamy (malvertising) wyświetlane na legalnych stronach internetowych. Reklamy te mogą prowadzić użytkowników do stron internetowych zawierających zestawy exploitów zdolne do dostarczania złośliwego oprogramowania na podatne urządzenia.

Zaatakowane lub fałszywe strony internetowe: Cyberprzestępcy mogą tworzyć fałszywe strony internetowe lub narażać na szwank legalne witryny w celu hostowania złośliwego oprogramowania. Użytkownicy odwiedzający te witryny mogą nieświadomie pobierać i instalować programy wykradające informacje.

Oprogramowanie bezpłatne i złamane: Cyberprzestępcy mogą dołączać programy do kradzieży informacji ze złamanym oprogramowaniem lub pirackimi treściami. Gdy użytkownicy pobierają i instalują te pliki, nieumyślnie instalują malware.

Pobieranie automatyczne: Pobieranie automatyczne ma miejsce, gdy odwiedzenie zainfekowanej lub złośliwej witryny internetowej powoduje automatyczne pobranie i instalację złośliwego oprogramowania na urządzeniu użytkownika.

Złośliwe sieci udostępniania plików: złodzieje informacji mogą być dystrybuowani za pośrednictwem sieci udostępniania plików, zwłaszcza tych, które udostępniają pirackie oprogramowanie lub treści. Użytkownicy, którzy pobierają i uruchamiają te pliki, mogą nieświadomie uruchomić złośliwe oprogramowanie.