Pronsis Loader

Výzkumníci v oblasti kybernetické bezpečnosti identifikovali nový zavaděč malwaru s názvem Pronsis Loader. Tento nakladač byl pozorován v nedávných kampaních přinášejících hrozby jako Lumma Stealer a Latrodectus . Nejstarší verze Pronsis Loader pocházejí z listopadu 2023.

Tento nově objevený malware vykazuje podobnosti s D3F@ck Loader, zejména v používání spustitelných souborů kompilovaných JPHP, díky čemuž jsou tyto dva zavaděče do značné míry zaměnitelné. Liší se však ve svých instalačních metodách: zatímco D3F@ck Loader spoléhá na Inno Setup Installer, Pronsis Loader využívá Nullsoft Scriptable Install System (NSIS).

Pronsis Loader je součástí nové kyberkampaně proti ukrajinským cílům

Bylo pozorováno podezření na ruskou hybridní špionážní a vlivovou operaci, která přinesla kombinaci malwaru pro Windows a Android, který se zaměřoval na ukrajinskou armádu v rámci telegramové civilní obrany.

Vědci sledují aktivitu pod názvem UNC5812. Skupina hrozeb, která provozuje telegramový kanál s názvem „civildefense_com_ua“, byla vytvořena 10. září 2024. Kanál měl v době analýzy 184 odběratelů. Spravuje také webovou stránku „civildefense.com.ua“, která byla zaregistrována 24. dubna 2024.

'Civil Defense' tvrdí, že je poskytovatelem bezplatných softwarových programů navržených tak, aby umožnily potenciálním brancům prohlížet a sdílet crowdsourcované umístění ukrajinských vojenských náborářů. Pokud by tyto programy byly nainstalovány na zařízeních Android, která mají zakázanou službu Google Play Protect, jsou navrženy tak, aby nasadily komoditní malware specifický pro operační systém spolu s aplikací pro mapování návnad s názvem SUNSPINNER.

Útočníci infikují zařízení Windows i Android

Pro uživatele Windows zahájí archiv ZIP nasazení nedávno identifikovaného zavaděče malwaru založeného na PHP s názvem Pronsis, který usnadňuje distribuci SUNSPINNER a běžného zloděje známého jako PureStealer. PureStealer je k dispozici ke koupi za ceny od 150 $ za měsíční předplatné až po 699 $ za doživotní licenci.

SUNSPINNER mezitím zobrazuje uživatelům mapu zobrazující údajná umístění ukrajinských vojenských rekrutů, která je řízena prostřednictvím serveru Command-and-Control (C2) provozovaného aktérem hrozby.

Pro ty, kteří přistupují na stránky na zařízeních Android, nasadí řetězec útoků škodlivý soubor APK (název balíčku: 'com.http.masters'), do kterého je vložen trojan pro vzdálený přístup známý jako CraxsRAT. Web také poskytuje obětem pokyny, jak deaktivovat Google Play Protect a udělit škodlivé aplikaci plná oprávnění, aby mohla fungovat bez omezení.

CraxsRAT je známá rodina malwaru pro Android, která je vybavena rozsáhlými možnostmi dálkového ovládání a pokročilými funkcemi spywaru, včetně keyloggingu, manipulace s gesty a schopnosti nahrávat kamery, obrazovky a hovory.