محمل برونسيز
تمكن باحثو الأمن السيبراني من تحديد أداة تحميل برامج ضارة جديدة تسمى Pronsis Loader. وقد لوحظت هذه الأداة في الحملات الأخيرة التي تشن تهديدات مثل Lumma Stealer و Latrodectus . يعود تاريخ أقدم إصدارات Pronsis Loader إلى نوفمبر 2023.
يُظهِر هذا البرنامج الخبيث المكتشف حديثًا أوجه تشابه مع D3F@ck Loader، وخاصةً في استخدامه للملفات القابلة للتنفيذ المترجمة بواسطة JPHP، مما يجعل المحملين قابلين للتبادل إلى حد كبير. ومع ذلك، يختلفان في طرق التثبيت الخاصة بهما: بينما يعتمد D3F@ck Loader على Inno Setup Installer، يستخدم Pronsis Loader نظام Nullsoft Scriptable Install (NSIS).
برنامج Pronsis Loader هو جزء من حملة إلكترونية جديدة ضد الأهداف الأوكرانية
تم رصد عملية تجسس وتأثير روسية مشتبه بها تقوم بتسليم مزيج من البرامج الضارة لنظامي التشغيل Windows وAndroid لاستهداف الجيش الأوكراني تحت اسم Telegram Civil Defense.
ويتعقب الباحثون النشاط تحت اسم UNC5812. وقد تم إنشاء مجموعة التهديد، التي تدير قناة على تطبيق Telegram باسم "civildefense_com_ua"، في 10 سبتمبر/أيلول 2024. وكان لدى القناة 184 مشتركًا وقت التحليل. كما تحتفظ أيضًا بموقع على الويب على العنوان "civildefense.com.ua" والذي تم تسجيله في 24 أبريل/نيسان 2024.
تزعم شركة "الدفاع المدني" أنها تقدم برامج مجانية مصممة لتمكين المجندين المحتملين من عرض ومشاركة المواقع التي تم جمعها من الجمهور للمجندين العسكريين الأوكرانيين. وفي حالة تثبيت هذه البرامج على أجهزة أندرويد التي تم تعطيل Google Play Protect فيها، فإنها مصممة لنشر برامج ضارة خاصة بنظام التشغيل إلى جانب تطبيق رسم خرائط وهمي يطلق عليه اسم SUNSPINNER.
المهاجمون يصيبون أجهزة Windows وAndroid
بالنسبة لمستخدمي Windows، يبدأ أرشيف ZIP في نشر أداة تحميل البرامج الضارة المستندة إلى PHP والتي تم التعرف عليها مؤخرًا والتي تسمى Pronsis، والتي تسهل توزيع SUNSPINNER وبرنامج سرقة جاهز يُعرف باسم PureStealer. PureStealer متاح للشراء بأسعار تتراوح من 150 دولارًا للاشتراك الشهري إلى 699 دولارًا للترخيص مدى الحياة.
وفي الوقت نفسه، يعرض SUNSPINNER خريطة للمستخدمين تُظهر المواقع المزعومة للمجندين العسكريين الأوكرانيين، والتي يتم التحكم فيها عبر خادم القيادة والتحكم (C2) الذي يديره الفاعل التهديدي.
بالنسبة لأولئك الذين يدخلون إلى الموقع على أجهزة Android، تقوم سلسلة الهجوم بنشر ملف APK ضار (اسم الحزمة: 'com.http.masters')، والذي يتضمن حصان طروادة للوصول عن بعد المعروف باسم CraxsRAT. كما يوفر الموقع الإلكتروني تعليمات للضحايا حول كيفية تعطيل Google Play Protect ومنح التطبيق الضار الأذونات الكاملة، مما يتيح له العمل دون قيود.
CraxsRAT هي عائلة معروفة من البرامج الضارة التي تعمل بنظام Android، وهي مزودة بإمكانيات تحكم عن بعد واسعة ووظائف تجسس متقدمة، بما في ذلك تسجيل المفاتيح، والتلاعب بالإيماءات، والقدرة على تسجيل الكاميرات والشاشات والمكالمات.