Una nueva amenaza sofisticada ha surgido en el paisaje cibercriminal, disfrazándose de una herramienta educativa mientras orquesta las operaciones de compromiso de robo de credenciales a gran escala y billetera.
Novablight, un robador de información de malware como servicio (MAAS) basado en NodeJS, representa una evolución preocupante en la accesibilidad del delito cibernético, lo que permite prácticamente cualquier persona para implementar capacidades avanzadas de robo de datos con una experiencia técnica mínima.
La campaña de malware, inicialmente descubierta a través de descargas falsas de instaladores de videojuegos, demuestra la creciente tendencia de los ciberdelincuentes que aprovechan las aplicaciones legítimas para distribuir cargas útiles maliciosas.
Los actores de amenaza detrás de Novablight han posicionado estratégicamente su producto como una herramienta educativa, a pesar de la evidencia clara de su intención maliciosa y su distribución comercial a través de mercados subterráneos.
Página de producto de NovableVight en Billgang (fuente – Elastic)
El enfoque de marketing engañoso ha permitido una adopción generalizada entre los ciberdelincuentes que buscan soluciones preparadas para la recolección de credenciales y el robo de criptomonedas.
Analistas elásticos identificado Novablight como la última creación del grupo Sordeal, los mismos actores de amenaza responsables de Nova Sentinel y Malicord.
El grupo demuestra competencia en francés en sus comunicaciones operativas, realizando negocios principalmente a través de plataformas de telegrama y discordia donde ofrecen licencias anuales y brindan apoyo técnico a su clientela penal.
Este enfoque profesional para la distribución de malware ha transformado el delito cibernético de una habilidad especializada en un servicio fácilmente accesible.
Los vectores de ataque del malware se centran principalmente en técnicas de ingeniería social, con investigadores que documentan campañas que utilizan instaladores de videojuegos falsos como vectores de acceso iniciales.
Página de destino para GOENFISHE (.) COM (Fuente – Elástica)
Un ejemplo notable involucró el dominio http: // welefishe (.) Com, que llevó a los usuarios a descargar lo que parecía ser un instalador de juegos en francés legítimo comparable a los títulos de Steam recientemente lanzados.
Este enfoque capitaliza la confianza de los usuarios en las plataformas de juego al tiempo que ofrece una carga útil integral de robo de datos.
Mecanismo de infección y arquitectura de persistencia
Novablight emplea un sofisticado proceso de infección en varias etapas diseñado para establecer un acceso persistente mientras evade mecanismos de detección.
La arquitectura del malware sigue una estructura de tubería clara, comenzando con las verificaciones previas al vuelo que evalúan el entorno de destino para máquinas virtuales, herramientas de depuración y software de seguridad.
Panel de control en el panel web de Novablight (Fuente – Elástico)
La fase inicial, designada como “flujo/init”, realiza una enumeración integral del sistema al tiempo que establece la comunicación con la infraestructura de comando y control alojada en múltiples dominios, incluyendo API.nova-blight (.) Top y Shadow.nova-blight (.) Top.
El mecanismo de persistencia incorpora varias técnicas avanzadas, incluida la manipulación del registro para deshabilitar las características de seguridad de Windows y el acceso al administrador de tareas.
El malware intenta modificar la clave de registro HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ System \\ System estableciendo el valor DisableTaskMGR en 1, evitando efectivamente que los usuarios terminen fácilmente procesos maliciosos.
Además, NovableLight implementa modificaciones del sistema de archivos utilizando el comando ICACLS: ICACLS “$ {FilePath}” /Deny $ {CurrentUser} 🙁 DE, DC) donde De niega los derechos de eliminación y DC previene la deleción a través de las operaciones de la carpeta principal.
La funcionalidad de monitoreo del portapapeles del malware representa una de sus capacidades más insidiosas, escaneando continuamente para direcciones de billetera de criptomonedas y detalles de la transacción de PayPal.
Al detectar patrones coincidentes, NovableVight reemplaza las direcciones legítimas con alternativas controladas por atacantes, como se demuestra en el indicador de configuración SwapWallet.Active.
Este módulo Clipper asegura que las transacciones financieras iniciadas por las víctimas se redirigan a las cuentas controladas por cibercrimen, a menudo sin detección inmediata por parte de la víctima.
Las capacidades de exfiltración de datos de Novablight se extienden más allá del simple robo de credenciales, incorporando perfiles de sistema integrales, grabación de cámara web e inyección de aplicación dirigida.
El malware se dirige específicamente a aplicaciones basadas en electrones que incluyen Discord, Exodus Wallet y MULLVAD VPN Client, obteniendo dinámicamente las cargas de inyección de https: //api.nova-blight (.) Top/inyecciones/puntos finales.
Este enfoque modular asegura que el malware siga siendo efectivo contra aplicaciones actualizadas al tiempo que mantiene la flexibilidad operativa para los actores de amenaza que buscan perfiles de objetivos específicos.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
