Pronsis Loader

Cybersikkerhedsforskere har identificeret en ny malware-loader ved navn Pronsis Loader. Denne loader er blevet observeret i de seneste kampagner, der leverer trusler som Lumma Stealer og Latrodectus . De tidligste versioner af Pronsis Loader går tilbage til november 2023.

Denne nyopdagede malware viser ligheder med D3F@ck Loader, især i dens brug af JPHP-kompilerede eksekverbare filer, hvilket gør de to indlæsere stort set udskiftelige. Men de adskiller sig i deres installationsmetoder: mens D3F@ck Loader er afhængig af Inno Setup Installer, bruger Pronsis Loader Nullsoft Scriptable Install System (NSIS).

Pronsis Loader er en del af en ny cyberkampagne mod ukrainske mål

En formodet russisk hybrid spionage- og indflydelsesoperation er blevet observeret levere en blanding af Windows- og Android-malware for at målrette det ukrainske militær under Telegram-personen Civil Defense.

Forskere sporer aktiviteten under navnet UNC5812. Trusselsgruppen, som driver en Telegram-kanal ved navn 'civildefense_com_ua', blev oprettet den 10. september 2024. Kanalen havde 184 abonnenter på analysetidspunktet. Det vedligeholder også et websted på 'civildefense.com.ua', der blev registreret den 24. april 2024.

'Civil Defense' hævder at være en udbyder af gratis softwareprogrammer designet til at give potentielle værnepligtige mulighed for at se og dele crowdsourcede placeringer af ukrainske militære rekrutterere. Skulle disse programmer installeres på Android-enheder, der har Google Play Protect deaktiveret, er de udviklet til at implementere en operativsystemspecifik vare-malware sammen med et lokkekortprogram kaldet SUNSPINNER.

Angribere inficerer både Windows- og Android-enheder

For Windows-brugere initierer ZIP-arkivet implementeringen af en nyligt identificeret PHP-baseret malware-indlæser kaldet Pronsis, som letter distributionen af SUNSPINNER og en hyldestjæler kendt som PureStealer. PureStealer kan købes til priser, der spænder fra $150 for et månedligt abonnement til $699 for en livstidslicens.

SUNSPINNER viser i mellemtiden et kort for brugere, der viser påståede placeringer af ukrainske militærrekrutter, som styres via en Command-and-Control-server (C2) betjent af trusselsaktøren.

For dem, der får adgang til webstedet på Android-enheder, implementerer angrebskæden en ondsindet APK-fil (pakkenavn: 'com.http.masters'), der indlejrer en fjernadgangstrojan kendt som CraxsRAT. Hjemmesiden giver også instruktioner til ofre om, hvordan man deaktiverer Google Play Protect og giver den ondsindede app fulde tilladelser, så den kan fungere uden begrænsninger.

CraxsRAT er en velkendt Android-malwarefamilie, der er udstyret med omfattende fjernbetjeningsfunktioner og avancerede spyware-funktioner, herunder keylogging, gestusmanipulation og muligheden for at optage kameraer, skærme og opkald.