Товарач Pronsis

Изследователите на киберсигурността са идентифицирали нов зареждащ зловреден софтуер, наречен Pronsis Loader. Този зареждащ инструмент е наблюдаван в последните кампании, доставящи заплахи като Lumma Stealer и Latrodectus . Най-ранните версии на Pronsis Loader датират от ноември 2023 г.

Този новооткрит зловреден софтуер показва прилики с D3F@ck Loader, особено в използването му на JPHP-компилирани изпълними файлове, което прави двата зареждащи до голяма степен взаимозаменяеми. Въпреки това, те се различават по своите методи за инсталиране: докато D3F@ck Loader разчита на Inno Setup Installer, Pronsis Loader използва Nullsoft Scriptable Install System (NSIS).

Pronsis Loader е част от нова киберкампания срещу украински цели

Беше наблюдавана предполагаема руска хибридна операция за шпионаж и влияние, доставяща комбинация от злонамерен софтуер за Windows и Android, насочен към украинската армия под името Гражданска защита на Telegram.

Изследователите проследяват дейността под името UNC5812. Групата за заплахи, която управлява канал в Telegram с име „civildefense_com_ua“, е създадена на 10 септември 2024 г. Каналът е имал 184 абонати към момента на анализа. Той също така поддържа уебсайт на адрес „civildefense.com.ua“, който е регистриран на 24 април 2024 г.

„Гражданска защита“ твърди, че е доставчик на безплатни софтуерни програми, предназначени да позволят на потенциалните наборници да преглеждат и споделят местоположения на украински военни вербовчици. Ако тези програми бъдат инсталирани на устройства с Android, които имат деактивиран Google Play Protect, те са проектирани да разположат специфичен за операционната система зловреден софтуер заедно с приложение за картографиране на примамка, наречено SUNSPINNER.

Нападателите заразяват както Windows, така и Android устройства

За потребителите на Windows, ZIP архивът инициира внедряването на наскоро идентифициран PHP-базиран зареждащ злонамерен софтуер, наречен Pronsis, който улеснява разпространението на SUNSPINNER и готов крадец, известен като PureStealer. PureStealer е достъпен за закупуване на цени, вариращи от $150 за месечен абонамент до $699 за доживотен лиценз.

SUNSPINNER, междувременно, показва карта за потребителите, показваща предполагаемите местоположения на новобранци от украинската армия, която се контролира чрез сървър за командване и контрол (C2), управляван от актьора на заплахата.

За тези, които имат достъп до сайта на устройства с Android, веригата за атака внедрява злонамерен APK файл (име на пакета: „com.http.masters“), вграждайки троянски кон за отдалечен достъп, известен като CraxsRAT. Уебсайтът също така предоставя инструкции на жертвите как да деактивират Google Play Protect и да предоставят на злонамереното приложение пълни разрешения, позволявайки му да работи без ограничения.

CraxsRAT е добре познато семейство зловреден софтуер за Android, оборудвано с обширни възможности за дистанционно управление и усъвършенствани шпионски функции, включително записване на клавиатури, манипулиране с жестове и възможност за запис на камери, екрани и разговори.