NightClub Malware vinculado ao ator de ameaça MoustachedBouncer

O malware conhecido como NightClub possui recursos de spyware e roubo de dados. Este programa malicioso existe em pelo menos quatro versões, com a variante mais antiga datando de 2014.

O malware NightClub é empregado por um agente de ameaças chamado MoustachedBouncer. Este grupo está ativo há quase dez anos e visa predominantemente embaixadas estrangeiras na Bielorrússia. Alvos notáveis incluem embaixadas de quatro países: duas na Europa e uma na África e uma no sul da Ásia. Além do NightClub, esse agente de ameaças também usa outro conjunto de ferramentas conhecido como Disco.

A versão original do NightClub se concentra em duas funções principais: monitorar arquivos e extrair dados. Esse malware envia conteúdo roubado para seu servidor de Comando e Controle (C&C) por e-mail. As iterações anteriores limitavam-se ao download de arquivos de formatos como documentos do Microsoft Word (.doc, .docx), Microsoft Excel (.xls, .xlsx) e PDF (.pdf).

No entanto, as versões lançadas desde 2016 possuem a capacidade de buscar módulos maliciosos extras de seu servidor C&C. Embora, em teoria, o malware com a capacidade de se infiltrar em conteúdo adicional em dispositivos infectados possa resultar em várias formas de infecção, na prática, esse software tende a operar dentro de certas restrições.

Os ataques NightClub iniciados desde 2020 introduzem um módulo backdoor, bem como módulos para keylogging (captura de dados digitados), captura de tela e gravação de áudio por meio de microfones integrados ou conectados.

O módulo backdoor tem a capacidade de executar diversos comandos, incluindo (mas não limitado a): criar processos, copiar e realocar diretórios e ler, mover e apagar arquivos.

É importante observar que os desenvolvedores de malware geralmente aprimoram seus softwares e metodologias ao longo do tempo. Além disso, as atividades do NightClub estão ligadas a ataques políticos e geopolíticos. Esses fatores sugerem que possíveis campanhas futuras do Nightclub podem apresentar funcionalidades e recursos diferentes ou adicionais.

Como os Infostealers são normalmente distribuídos online?

Os infostealers, também conhecidos como ladrões de informações ou ladrões de dados, são um tipo de malware projetado para se infiltrar no dispositivo da vítima, coletar informações confidenciais e enviá-las para agentes mal-intencionados. Essas variedades de malware visam coletar dados valiosos, como credenciais de login, informações financeiras, detalhes pessoais e muito mais. Os infostealers podem ser distribuídos através de vários métodos online:

Anexos de e-mail maliciosos: os infostealers geralmente se espalham por meio de e-mails de phishing que contêm anexos infectados. Esses anexos podem estar disfarçados como documentos (por exemplo, PDFs, arquivos do Word), planilhas ou arquivos executáveis. Depois que a vítima abre o anexo, o malware é executado e o dispositivo fica comprometido.

Links maliciosos em e-mails: os e-mails de phishing também podem incluir links para sites maliciosos. Clicar nesses links pode levar a downloads automáticos, nos quais o malware é automaticamente baixado e executado sem o conhecimento do usuário.

Malvertising: Infostealers podem ser entregues por meio de anúncios maliciosos (malvertising) exibidos em sites legítimos. Esses anúncios podem levar os usuários a sites que hospedam kits de exploração capazes de entregar o malware a dispositivos vulneráveis.

Sites comprometidos ou falsos: os cibercriminosos podem criar sites falsos ou comprometer sites legítimos para hospedar software malicioso. Os usuários que visitam esses sites podem baixar e instalar inadvertidamente infostealers.

Freeware e software crackeado: os cibercriminosos podem agrupar infostealers com software crackeado ou conteúdo pirata. Quando os usuários baixam e instalam esses arquivos, eles inadvertidamente instalam o malware.

Drive-by downloads: os downloads drive-by ocorrem quando a visita a um site comprometido ou malicioso aciona o download automático e a instalação do malware no dispositivo do usuário.

Redes de compartilhamento de arquivos maliciosos: os infostealers podem ser distribuídos por meio de redes de compartilhamento de arquivos, especialmente aquelas que hospedam software ou conteúdo pirata. Os usuários que baixam e executam esses arquivos podem executar o malware sem saber.