Pronsis Loader

Els investigadors de ciberseguretat han identificat un nou carregador de programari maliciós anomenat Pronsis Loader. Aquest carregador s'ha observat en campanyes recents amb amenaces com Lumma Stealer i Latrodectus . Les primeres versions de Pronsis Loader es remunten al novembre de 2023.

Aquest programari maliciós recentment descobert mostra similituds amb el carregador D3F@ck, especialment en el seu ús d'executables compilats amb JPHP, fent que els dos carregadors siguin en gran mesura intercanviables. Tanmateix, es diferencien en els seus mètodes d'instal·lació: mentre que el D3F@ck Loader es basa en l'Inno Setup Installer, el Pronsis Loader utilitza el Nullsoft Scriptable Install System (NSIS).

El carregador Pronsis forma part d'una nova cibercampanya contra objectius ucraïnesos

S'ha observat una presumpta operació d'espionatge i influència híbrida rus que ofereix una combinació de programari maliciós per a Windows i Android per apuntar a l'exèrcit ucraïnès sota el personatge de Defensa Civil de Telegram.

Els investigadors estan fent un seguiment de l'activitat amb el nom UNC5812. El grup d'amenaces, que opera un canal de Telegram anomenat 'civildefense_com_ua', es va crear el 10 de setembre de 2024. El canal tenia 184 subscriptors en el moment de l'anàlisi. També manté un lloc web a 'civildefense.com.ua' que es va registrar el 24 d'abril de 2024.

'Civil Defense' afirma ser un proveïdor de programes de programari lliure dissenyats per permetre que els possibles reclutaments visualitzin i comparteixin ubicacions col·lectives de reclutadors militars ucraïnesos. En cas que aquests programes s'instal·lin en dispositius Android que tenen Google Play Protect desactivat, estan dissenyats per desplegar un programari maliciós específic del sistema operatiu juntament amb una aplicació de mapes de señuelos anomenada SUNSPINNER.

Els atacants infecten dispositius Windows i Android

Per als usuaris de Windows, l'arxiu ZIP inicia el desplegament d'un carregador de programari maliciós basat en PHP identificat recentment anomenat Pronsis, que facilita la distribució de SUNSPINNER i un robatori disponible com PureStealer. PureStealer està disponible per a la compra a preus que van des dels 150 dòlars per a una subscripció mensual fins als 699 dòlars per a una llicència de per vida.

SUNSPINNER, per la seva banda, mostra un mapa per als usuaris que mostra les suposades ubicacions dels reclutes militars ucraïnesos, que es controla mitjançant un servidor de comandament i control (C2) operat per l'actor d'amenaça.

Per a aquells que accedeixen al lloc en dispositius Android, la cadena d'atac desplega un fitxer APK maliciós (nom del paquet: 'com.http.masters'), incrustant un troià d'accés remot conegut com CraxsRAT. El lloc web també proporciona instruccions a les víctimes sobre com desactivar Google Play Protect i atorgar permisos complets a l'aplicació maliciosa, la qual cosa permet que funcioni sense restriccions.

CraxsRAT és una coneguda família de programari maliciós per a Android, equipada amb àmplies capacitats de control remot i funcions avançades de programari espia, com ara el registre de tecles, la manipulació de gestos i la capacitat de gravar càmeres, pantalles i trucades.