MaaS-Appeal: Ein Infostealer erhebt sich aus der Asche

NOVABLIGHT auf einen Blick

NOVABLIGHT ist ein NodeJS-basierter Malware-as-a-Service (MaaS)-Informationsdieb, der von einer Bedrohungsgruppe entwickelt und verkauft wird, die Französischkenntnisse nachweist. Dies zeigt sich in ihren Diskussionen und der operativen Kommunikation auf ihren primären Verkaufs- und Support-Plattformen, Telegram und Discord.

Basierend auf unserer Analyse der neuesten veröffentlichten Version von NOVABLIGHT deutet der folgende Codeausschnitt darauf hin, dass die Sordeal Group, die Gruppe hinter Nova Sentinel und MALICORD, auch für NOVABLIGHT verantwortlich ist.

Wichtigste Erkenntnisse

• NOVABLIGHT ist ein Infostealer, der als Bildungswerkzeug beschrieben wird, obwohl Nachrichten auf Telegram-Kanälen vertrauliche Informationen und ungeschwärzte Screenshots enthalten.
• NOVABLIGHT-Lizenzen sind bis zu einem Jahr gültig, und Binärdateien können über Telegram oder Discord generiert werden.
• Stark verschleierter Code mit vielen Funktionen.

Discovery

Elastic Security Labs identifizierte mehrere Kampagnen, die gefälschte Downloads von Videospiel-Installern als ersten Zugangsköder für MaaS-Infektionen von Internetnutzern nutzten. In einem Beispiel forderte die URL den Benutzer http://gonefishe[.]com auf, eine Binärdatei herunterzuladen und eine französischsprachige Version eines Spiels mit einem Namen und einer Beschreibung zu installieren, die mit einer kürzlich auf Steam veröffentlichten Version vergleichbar sind.

Vertrieb, Monetarisierung und Community

Die Gruppe bewarb und verkaufte ihr Produkt auf verschiedenen Online-Plattformen, früher Sellix und Sellpass und heute Billgang.

Die Gruppe verkauft einen API-Schlüssel, der zwischen 1 und 12 Monaten abläuft. Dieser Schlüssel kann dann verwendet werden, um eine Instanz von NOVABLIGHT über einen Telegram-Bot oder über Discord zu erstellen.

Die Gruppe bewirbt ein Empfehlungsprogramm auf ihrem Discord-Kanal mit API-Schlüsseln als Belohnung.

Benutzer erhalten Zugriff auf ein Dashboard, das von der Gruppe gehostet wird und die von den Opfern gesammelten Informationen anzeigt. Die folgenden Bereiche wurden identifiziert, obwohl weitere existieren können:

• api.nova-blight[.]top
• shadow.nova-blight[.]top
• nova-blight[.]site
• nova-blight[.]xyz
• bamboulacity.nova-blight[.]xyz

Einige der Bilder, die im Dashboard-Bereich verwendet werden, werden in GitHub-Repositorys gehostet, die verschiedenen Konten zugeordnet sind, wodurch mehr Details über die Gruppe verfügbar gemacht werden konnten.

Das GitHub-Konto KSCHcuck1 ist ein Pseudonym, das dem des vorherigen Autors von MALICORD ähnelt, einer kostenlosen Version der frühesten Version des Stealers, die auf GitHub unter dem Konto KSCH-58 gehostet wurde (WEB ARCHIVE LINK). Der X-Account @KSCH_dsc wies ebenfalls Ähnlichkeiten auf und bewarb noch 2023 aktiv seinen "besten Stealer, der je veröffentlicht wurde".

Die folgenden GitHub-Konten wurden in Bezug auf die Gruppe identifiziert:

• https://github.com/KSCHcuck1
• https://github.com/CrackedProgramer412/caca
• https://github.com/MYnva
• https://github.com/404log (tot)

Ihr öffentlicher Telegram-Kanal hostet Tutorials und eine Community von Benutzern. In der folgenden Bilderfassung geben Benutzer Screenshots des Buildprozesses frei.

Benutzer des Infostealers teilen offen Bilder von Luxusartikeln und Geldtransfers, was bemerkenswert ist, da NOVABLIGHT als ausschließlich zu Bildungszwecken dienend beschrieben wird.

NOVABLIGHT-Analyse

NOVABLIGHT ist ein modularer und funktionsreicher Informationsdieb, der auf NodeJS mit dem Electron-Framework basiert. Seine Fähigkeiten gehen über den einfachen Diebstahl von Anmeldeinformationen hinaus und umfassen Methoden zur Datenerfassung und -exfiltration, zur Sandbox-Erkennung und zur starken Verschleierung.

Ein bemerkenswerter Aspekt des Build-Prozesses der Malware ist ihre modulare Konfiguration. Obwohl ein Kunde sich dafür entscheiden kann, bestimmte Funktionen zu deaktivieren, verbleibt der zugrunde liegende Code für diese Funktionen in der endgültigen Nutzlast. Er ist inaktiv und wird nicht basierend auf den Konfigurationsflags des Builds ausgeführt.

Die Codeausschnitte in diesem Bericht stammen aus einem nicht verschleierten Beispiel der Version 2.0, wenn die Implementierungsdetails mit Beispielen der Version 2.2 übereinstimmen, oder aus unserem manuell entschleierten Code eines Beispiels der Version 2.2, wenn sie sich unterscheiden.

Code-Struktur

Von der Ersteinrichtung bis zum Datendiebstahl ist der Infostealer in einer übersichtlichen, mehrstufigen Pipeline organisiert, die von übergeordneten "Flow"-Controllern verwaltet wird. Die Hauptphasen sind:

• flow/init: Pre-Flight-Prüfungen (ausgeführte Instanzen, Administratorrechte, Internetverbindung), Anti-Analyse-Prüfungen, Aufzählung von Systeminformationen, Einrichten der Persistenz usw.
• Durchfluss/Einspritzen: Anwendungsinjektion und Patching (Atomic, Mullvad, Discord, ...)
• flow/grabb: Datenerfassung
• flow/ClipBoard: Hijacking der Zwischenablage
• flow/sende: Datenexfiltration
• flow/disable: Systemsabotage (Windows Defender deaktivieren, System-Anti-Reset, unterbrochene Internetverbindung, ...)
• Durchfluss/Reinigung: Reinigung nach der Exfiltration

Weitere Einblicke in die Codestruktur finden Sie in diesem GitHub Gist, in dem die direkten Abhängigkeiten für jedes der Kernmodule und Ausführungsabläufe von NOVABLIGHT aufgeführt sind.

Anti-Debug- und Sandbox-Erkennung

NOVABLIGHT umfasst mehrere Techniken, um Analyseumgebungen zu erkennen und zu umgehen, und kombiniert Umgebungs-Fingerabdrücke mit aktiven Gegenmaßnahmen. Zu diesen Überprüfungen gehören:

• Erkennen von VM-bezogenen GPU-Namen (vmware, virtualbox, qemu)
• Überprüfung auf Benutzernamen auf der schwarzen Liste (Sandbox, Test, Malware)
• Identifizieren von VM-spezifischen Treiberdateien (balloon.sys, qemu-ga)
• Überprüfung auf niedrige Bildschirmauflösung und fehlende USB-Geräte
• Abfragen von GitHub nach Blacklists von IPs, HWIDs, Benutzernamen, Programmen, Organisationen, GPU-Namen, PC-Namen und Betriebssystemen
• Aktives Beenden bekannter Analyse- und Debugging-Tools, die in einer Remoteliste gefunden wurden

Die Blacklists werden auf GitHub gehostet:

• https://raw.githubusercontent.com/Mynva/sub/main/json/blocked_ips.json
• https://raw.githubusercontent.com/Mynva/sub/main/json/blocked_progr.json
• https://raw.githubusercontent.com/Mynva/sub/refs/heads/main/json/blockedorg.json
• https://raw.githubusercontent.com/Mynva/sub/main/json/blocked_GPUTYPE.json
• https://raw.githubusercontent.com/Mynva/sub/main/json/nope.json
• https://raw.githubusercontent.com/Mynva/sub/main/json/blocked_hwid.json
• https://raw.githubusercontent.com/Mynva/sub/main/json/blockedpcname.json
• https://raw.githubusercontent.com/MYnva/sub/refs/heads/main/json/blockedOS.json

Deaktivieren Sie Defender und versuche, den Task-Manager zu deaktivieren

NOVABLIGHT versucht, Windows Defender und verwandte Windows-Sicherheitsfunktionen zu deaktivieren, indem es ein Batch-Skript herunterlädt und ausführt, DisableWD.bat, aus einem öffentlichen GitHub-Repository.

Die Malware behauptet, in der Lage zu sein, den Task-Manager zu deaktivieren, was es für einen nicht technischen Benutzer schwierig macht, das Schadprogramm zu identifizieren und zu beenden. Es verwendet setValues aus dem regedit-rs -Paket, um den DisableTaskMgr Wert unter HKCU\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies\\\\Systemauf 1 zu setzen.

Wenn man sich jedoch das regedit-rs Repository (v1.0.3 entsprechend) ansieht, gibt es keine exportierten Funktionen mit dem Namen setValues, sondern nur putValue. Diese Funktion funktioniert möglicherweise nicht wie vorgesehen.

Deaktivieren des Internetzugangs

Um die Internetverbindung des Opfers zu unterbrechen, verwendet die Malware zwei verschiedene Methoden. Die erste besteht darin, den Wi-Fi-Adapter dauerhaft zu deaktivieren, indem er wiederholt in einer schnellen Schleife zurückgesetzt wird, wobei das externe npm-Paket wifi-control und seine resetWiFi-Funktion verwendet werden.

Die zweite Methode deaktiviert den primären "Ethernet"-Netzwerkadapter mit dem Befehl netsh und führt ihn alle 5 Sekunden aus, um erneute Aktivierungsversuche zu deaktivieren.

Ausschalten der Systemwiederherstellung

Die Malware kann die Systemwiederherstellung sabotieren, indem sie die Windows-Wiederherstellungsumgebung (reagentc /disable) deaktiviert und alle Volumeschattenkopien (vssadmin delete shadows /all) löscht, wenn das antireset -Flag in der Konfiguration aktiviert ist.

Blockieren des Löschens von Dateien

Eine weitere Systemsabotagefunktion, die für das Opfer offensichtlich sein könnte, besteht darin, die eigene ausführbare Datei der Malware unlöschbar zu machen, indem ihre Sicherheitsberechtigungen durch icacls “${filePath}” /deny ${currentUser}:(DE,DC) geändert werden, bei der DE das Löschrecht verweigert und DC das Löschen über den übergeordneten Ordner verhindert, und optional ein Popup-Nachrichtenfenster mit einer "Troll"-Nachricht erstellt wird.

Bevor es sich selbst sperrt, führt es auch einen PowerShell-Befehl aus, um das Konto des Opfers aus den folgenden Systemgruppen zu entfernen: Administrators, Power Users, Remote Desktop Users, Administrateurs.

Ersetzen von Adressen in der Zwischenablage

Die Malware implementiert ein "Clipper"-Modul, das die Zwischenablage des Computers aktiv auf Crypto- oder PayPal-Adressen überwacht und diese durch in der Konfiguration definierte Adressen ersetzt. Wenn der Benutzer, der die Nutzlast erstellt hat, keine eigenen Adressen angegeben hat, verwendet die Malware standardmäßig einen fest codierten Satz, der vermutlich von den Entwicklern kontrolliert wird, um Gelder von ihren weniger erfahrenen Benutzern zu erfassen.

Injektionen für Elektronenapplikation

NOVABLIGHT kann bösartigen Code in mehrere beliebte Electron-basierte Anwendungen einschleusen. Die Nutzlasten werden dynamisch vom Endpunkt https://api.nova-blight[.]top/injections/*targeted_application*/*some_key*abgerufen und zielen auf Anwendungen wie die folgenden ab:

• Discord-Client
• Exodus Geldbörse
• Mullvad VPN-Client
• Atomare Geldbörse
• Mailspring E-Mail-Client

Wir waren in der Lage, alle Module aus einem öffentlichen GitHub-Repository abzurufen.

Die Injektionsimplementierung ist ein klassisches Beispiel für das erneute Packen der Electron App: Entpacken der ASAR-Datei, Neuschreiben aller Zielquelldateien und anschließendes erneutes Packen. Wenn man sich ein Beispiel mit dem Mullvad-Client ansieht, entpackt er zunächst Program Files\\Mullvad VPN\\resources\\app.asar in ein temporäres Verzeichnis, holt sich eine Backdoor-Version von account.js von https://api.nova-blight[.]top/injections/mullvad/dVukBEtL8rW2PDgkwdwfbNSdG3imwU8bZhYUygzthir66sXXUuyURunOin9s, überschreibt die Quelldatei account.jsund packt sie schließlich neu. Während es möglicherweise immer noch für ältere Versionen von Mullvad wie 2025.4 funktioniert, Dies scheint auf der neuesten Version von Mullvad nicht zu funktionieren.

In einem ähnlichen Fall für den Exodus-Client haben die NOVABLIGHT-Entwickler die Funktion setPassphrase im Hauptmodul der Exodus-Anwendung mit zusätzlichen Funktionen zum Diebstahl von Anmeldeinformationen modifiziert.
So sieht main/index.js in einer legitimen Version von Exodus 25.28.4 aus:

In der trojanisierten index.jswerden vom Benutzer eingegebene Passphrasen über konfigurierbare Discord-Webhooks und Telegram exfiltriert – entweder über die offizielle Telegram-API oder einen benutzerdefinierten Telegram-API-Proxy.

Extraktion sensibler Chrome-Daten

Für Chromium-basierte Browser (Brave, Chrome, Edge), die auf Version 137 ausgeführt werden, lädt die Malware eine Zip-Datei herunter, die ein Chrome-Datenentschlüsselungstool von https://github.com/Hyutop/pandakmc-auto-vote/blob/main/bin.zip enthält.

Das GitHub-Repository versucht, sich als Minecraft-Abstimmungsmanagement-Tool zu tarnen.

Die Zip-Datei enthält jedoch bin.zip den kompilierten Code (decrypt.exe und chrome_decrypt.dll) der Version 0.11.0 des Chrome App-bound decrypter PoC-Projekts von xaitax.

Aufzählung des Systems

Sobald NOVABLIGHT aktiv ist, führt es eine umfassende Suite von Systemaufzählungsfunktionen aus, mit denen ein vollständiges Profil der Computer- und Benutzeraktivitäten des Opfers erstellt werden kann. Jedes Modul zielt auf eine bestimmte Information ab, die dann in einem lokalen Verzeichnis gespeichert wird, bevor sie auf den Command-and-Control-Server hochgeladen wird. Erkennungstechniker sollten die spezifischen Implementierungen der einzelnen Techniken notieren und wissen, welche Datenquelle(n) eine ausreichende Transparenz bieten.

• captureSystemInfo(): Sammelt umfangreiche Hardware- und Softwarespezifikationen, um Fingerabdrücke auf dem Gerät zu erstellen. Dazu gehören die Hardware-ID (HWID), CPU- und GPU-Modelle, die RAM-Größe, Festplatteninformationen, die Windows-Betriebssystemversion und eine Liste aller angeschlossenen USB-Geräte.
• Ausgabe: *configured_path*/System Info.txt

• captureScreen(): Erfasst einen vollständigen Screenshot des Desktops des Opfers und bietet einen sofortigen Einblick in die aktuellen Aktivitäten des Benutzers.
  • Methode: Verwendet die screenshot-desktop-Bibliothek .
  • Ausgabe: Eine Bilddatei mit Zeitstempel (z. B. configured_path/Hostname_2025-10-26_14-30-00.png').
• captureTaskList(): Ruft eine Liste aller derzeit ausgeführten Prozesse für die Situationserkennung ab, sodass der Angreifer sehen kann, welche Anwendungen und Sicherheitstools aktiv sind.
  • Methode: Führt den Befehl tasklist /FO CSV /NHaus.
  • Ausgabe: *configured_path*/TaskManagerInfo.txt
• captureAVDetails(): Identifiziert das installierte Antiviren- oder Endpunktschutzprodukt durch Abfrage des Windows-Sicherheitscenters.
  • Methode: Führt den PowerShell-Befehl aus Get-CimInstance -Namespace root/SecurityCenter2 -ClassName AntiVirusProduct | Format-List
  • Ausgabe: *configured_path*/Avdetails.txt
• captureClipboardContent(): Gibt den aktuellen Inhalt der Zwischenablage des Benutzers aus, der vertrauliche, vorübergehende Informationen wie Kennwörter oder kopierte Nachrichten enthalten kann.
  • Methode: Führt den PowerShell-Befehl Get-Clipboardaus.
  • Ausgabe: *configured_path*/Clipboard.txt
• captureWebcamVideo(): Zeichnet heimlich ein Video mit der primären Webcam des Systems auf und liefert visuelle Informationen über das Opfer und seine Umgebung.
  • Methode: Nutzt die direct-synch-show Bibliothek für die Videoaufnahme.
  • Ausgabe: *configured_path*/Bighead.avi
• captureWifiPasswords(): Exfiltriert die Passwörter für alle gespeicherten WLAN-Netzwerke auf dem Gerät und ermöglicht so eine mögliche laterale Bewegung oder den Zugriff auf andere Netzwerke, die das Opfer verwendet.
  • Methode: Führt den Befehl netsh wlan show profile *wifi_ssid* key=clear für jedes Profil aus.
  • Ausgabe: *configured_path*/WifiPasswords.txt
• getFilesUrgents: Diese Funktion exfiltriert Dateien auf der Festplatte nach einer Reihe von Schlüsselwörtern wie folgt: backup, default, code, discord, token, passw, mdp, motdepasse, mot_de_passe, login, secret, account, acount, apacht, banque, bank, matamask, wallet, crypto, exdous, 2fa, a1f, memo, compone, finance, seecret, credit, cni, diese Dateien werden archiviert, sobald files.zip dann an den C2 gesendet werden.

Daten-Exfiltration

Es gibt 3 Kanäle für die gestohlenen Daten: das offizielle Webpanel der NOVABLIGHT-Gruppe, die Discord-Webhook-API und die Telegram-API. Der Status dieser Kanäle ist ungewiss, da die Haupt-Proxy-API und das Webpanel derzeit nicht verfügbar sind, was die Funktionalität der Discord- und Telegram-Kanäle stören kann, wenn sie auf derselben Proxy-Infrastruktur basieren.

Das Web-Panel war einst der offizielle Exfiltrationskanal, da es als primäre Datenverwaltungsplattform beworben wurde.

Die Telegram-Implementierung versucht zunächst, die Daten an eine konfigurierte Proxy-URL zu senden, der Code prüft, ob die URL die Zeichenfolge req in diesem Fall https://bamboulacity.nova-blight[.]xyz/req/dVukBEtL8rW2PDgkwdwfbNSdG3imwU8bZhYUygzthir66sXXUuyURunOin9senthält.

Wenn die Proxy-URL nicht konfiguriert ist oder die Bedingung nicht erfüllt, greift das Modul auf die direkte Kommunikation mit der offiziellen Telegram-API (bei https://api.telegram[.]org/bot*token*/sendMessage) zurück, indem es eine konfigurierte userId, chatId und botToken verwendet, um die gestohlenen Daten zu senden.

Im Gegensatz zum Telegram-Modul ist die Implementierung des Discord-Webhooks viel einfacher. Es verwendet eine einzige URL für die Exfiltration ohne Fallback-Mechanismus. Die analysierten Stichproben verwendeten zu diesem Zweck konsistent die benutzerdefinierte Proxy-URL.

NOVABLIGHT verfügt über eine redundante und mehrstufige Infrastruktur. Anstatt sich auf einen einzigen Upload-Host zu verlassen, der einen Single Point of Failure schaffen würde, nutzt die Malware eine Kombination aus legitimen Datei-Hosting-Diensten von Drittanbietern und einem eigenen dedizierten Backend. Im Folgenden finden Sie die extrahierte Liste der Domänen und Endpunkte:

• https://bashupload[.]com
• https://litterbox.catbox[.]moe/resources/internals/api.php
• https://tmpfiles[.]org/api/v1/upload
• https://oshi[.]at/
• http://sendfile[.]su/
• https://wsend[.]net
• https://api.gofile[.]io/servers
• https://gofile[.]io/uploadFiles
• https://rdmfile[.]eu/api/upload
• https://bamboulacity.nova-blight[.]xyz/file/

Gezielte Daten

NOVABLIGHT führt gezielte Routinen aus, die darauf abzielen, Anmeldeinformationen und Sitzungsdateien aus einer bestimmten Liste installierter Software zu stehlen. Die kuratierte Liste ist in diesem GitHub Gist verfügbar.

Verschleierungstechniken

Array-Zuordnung

Die erste Technik, die angegangen werden muss, ist die Verwendung von Array-Mapping durch die Malware. Das Skript initialisiert ein einzelnes großes globales Array __p_6Aeb_dlrArray mit Werten unterschiedlicher Typen und Codierung, die fast alle im Skript verwendeten Literalwerte berücksichtigen.

Nach dem Ersetzen von Array-Indexverweisen werden viele kleine Zeichenfolgenblöcke, aus denen ein vollständiger String besteht, zur Laufzeit aufgeteilt und verkettet, aber in dieser Phase kann die NOVABLIGHT-Versionierungsnummer leicht identifiziert werden.

String-Codierung

Die zweite Technik, die zum Ausblenden von Zeichenfolgen verwendet wird, ist die Verwendung der base91-Codierung. Der Funktionswrapper __p_xIFu_MAIN_STR wird mit einem ganzzahligen Argument aufgerufen.

Die Ganzzahl ist ein Index eines sekundären Arrays, das __p_9sMm_array abbildet, das codierte Zeichenfolgen enthält. Er ruft die codierte Zeichenkette ab und übergibt sie an die Decodierungsroutine __p_xIFu_MAIN_STR_decode.

__p_xIFu_MAIN_STR_decode wird es dann mit einem benutzerdefinierten Alphabet dekodieren:
vFAjbQox\>5?4K$m=83GYu.nBIh\<drPaN\^@%Hk:D_sSyz"ER9/p,(*JwtfO)iUl&C\[~\}\{|Z+gX1MqL;60!e]T#2cVW7 und geben Sie die decodierte Zeichenfolge zurück.

Zugriff auf die Verschleierung von Mustern

Anstatt direkt auf Objekte und Funktionen zuzugreifen, verwendet der Code zwischengeschaltete abgeflachte "Proxy"-Objekte mit verstümmelten Tasten und umschließt Objekte mit einer anderen Objektschicht, um die ursprünglichen Zugriffsmuster zu verbergen.

Beispielsweise wird der Funktion __p_LQ1f_flat_… ein flaches Objekt __p_w3Th_flat_objectübergeben. Dieses Objekt enthält 3 get-Accessoren für Eigenschaften, von denen einer das aus der Konfiguration abgerufene disableNetwork-Flag und einen Wrapper für einen Dispatcher-Aufruf (__p_jGTR_dispatcher_26zurückgibt. Im gesamten Code gibt es ein Muster, bei dem die Eigenschaftsnamen mit empretecerian.jsbeginnen, was zufällig auch der Name der Skriptdatei ist. Die aufgerufene Funktion kann dann über dieses flache Objekt, das vom Aufrufer aufgefüllt wird, auf die tatsächlichen Objekte und Funktionen zugreifen.

Verschleierung der Ablaufsteuerung

Ein Teil des Ausführungspfads des Codes wird über einen zentralen Dispatcher, __p_jGTR_dispatcher_26, geleitet, in dem der erste Argumentname eine kurze ID-Zeichenfolge annimmt.

Jede ID ist einer bestimmten Funktion zugeordnet. Zum Beispiel wird die ID- jgqatJ vom modules/init/Troll.js -Modul referenziert und ist für ein "Troll"-Popup-Meldungsfeld verantwortlich.

Proxy-Variablen

Zuerst transformiert die Verschleierung die Funktionssyntax in eine "Restparameter-Syntax", die die Parameter durch ein Array ersetzt, das Variablenwerte anstelle von direkten Variablen speichert, und der Code verweist dann auf das Array mit numerischen Werten. So wird z.B. die Funktion __p_xIFu_MAIN_STR_decode nicht mit direkten Parametern aufgerufen. Stattdessen werden ihre Argumente zuerst in das __p_A5wG_varMask -Array (Zeile 22) eingefügt, und die Funktion ist so programmiert, dass sie sie aus vordefinierten Indizes abruft. In Zeile 25 speichert der Index -36 des Arrays beispielsweise den Index des Zeichens "c" in einer Zeichenfolge, die in __p_A5wG_varMask[171]gespeichert ist.

NOVABLIGHT und MITRE ATT&CK

Elastic verwendet das MITRE ATT&CK-Framework , um gängige Taktiken, Techniken und Verfahren zu dokumentieren, die von Advanced Persistent Threats gegen Unternehmensnetzwerke eingesetzt werden.

Taktiken

• Ausführung
• Persistenz
• Tarnung
• Zugriff mit Anmeldeinformationen
• Discovery
• Erfassung
• Command and Control
• Exfiltration

Techniken

• Verschleierte Dateien oder Informationen
• Prozess-Erkennung
• Befehls- und Skriptinterpreter: PowerShell
• Befehls- und Skriptinterpreter: JavaScript
• Data Staging: Lokales Data Staging
• Erkennung von Systeminformationen
• Datei- und Verzeichniserkennung
• Bildschirmaufnahme
• Daten aus der Zwischenablage
• Videoaufnahme
• Virtualisierung/Sandbox-Umgehung: System-Checks
• Kontozugriff entfernt
• Anmeldeinformationen aus Kennwortspeichern: Anmeldeinformationen aus Webbrowsern
• Beeinträchtigung der Abwehr: Deaktivieren oder Ändern von Tools
• Exfiltration über Webdienst: Exfiltration in den Cloud-Speicher

Fazit

NOVABLIGHT zeigt, wie auch weniger bekannte Malware Wirkung zeigen kann. Durch das Angebot eines ausgefeilten, einfach zu bedienenden Tools über Plattformen wie Telegram und Discord haben die Entwickler es jedem leicht gemacht, sich an Cyberkriminalität zu beteiligen.

Darüber hinaus ist diese Bedrohung nicht statisch. Unsere Analyse bestätigt, dass sich NOVABLIGHT in einer kontinuierlichen und aktiven Entwicklung befindet. Diese kontinuierliche Weiterentwicklung stellt sicher, dass NOVABLIGHT auf absehbare Zeit eine anhaltende und relevante Bedrohung bleiben wird.

Erkennen von NOVABLIGHT

YARA

Elastic Security hat YARA-Regeln erstellt, um diese Aktivität zu identifizieren.

rule Windows_Infostealer_NovaBlight {
    meta:
        author = "Elastic Security"
        creation_date = "2025-07-18"
        last_modified = "2025-07-28"
        os = "Windows"
        arch = "x86"
        category_type = "Infostealer"
        family = "NovaBlight"
        threat_name = "Windows.Infostealer.NovaBlight"
        reference_sample = "d806d6b5811965e745fd444b8e57f2648780cc23db9aa2c1675bc9d18530ab73"

    strings:
        $a1 = "C:\\Users\\Administrateur\\Desktop\\Nova\\"
        $a2 = "[+] Recording..." fullword
        $a3 = "[+] Capture start" fullword
    condition:
        all of them
}

Beobachtungen

Die folgenden Observablen wurden in dieser Studie diskutiert.

Referenzen

In der obigen Studie wurde auf Folgendes Bezug genommen:

• https://www.gatewatcher.com/lab/groupe-nova-sentinel/
• https://www.cyfirma.com/research/emerging-maas-operator-sordeal-releases-nova-infostealer/