Pronsis Loader

Οι ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν ένα νέο πρόγραμμα φόρτωσης κακόβουλου λογισμικού που ονομάζεται Pronsis Loader. Αυτός ο φορτωτής έχει παρατηρηθεί σε πρόσφατες καμπάνιες να εκπέμπει απειλές όπως το Lumma Stealer και το Latrodectus . Οι παλαιότερες εκδόσεις του Pronsis Loader χρονολογούνται από τον Νοέμβριο του 2023.

Αυτό το κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα παρουσιάζει ομοιότητες με το D3F@ck Loader, ιδιαίτερα στη χρήση εκτελέσιμων μεταγλωττισμένων από JPHP, καθιστώντας τους δύο φορτωτές σε μεγάλο βαθμό εναλλάξιμους. Ωστόσο, διαφέρουν ως προς τις μεθόδους εγκατάστασης: ενώ το D3F@ck Loader βασίζεται στο Inno Setup Installer, το Pronsis Loader χρησιμοποιεί το Nullsoft Scriptable Install System (NSIS).

Το Pronsis Loader είναι μέρος μιας νέας διαδικτυακής καμπάνιας εναντίον Ουκρανικών στόχων

Μια ύποπτη ρωσική υβριδική επιχείρηση κατασκοπείας και επιρροής έχει παρατηρηθεί η οποία παρείχε ένα μείγμα κακόβουλου λογισμικού Windows και Android για να στοχεύσει τον ουκρανικό στρατό υπό το Telegram persona Civil Defense.

Οι ερευνητές παρακολουθούν τη δραστηριότητα με το όνομα UNC5812. Η ομάδα απειλών, η οποία διαχειρίζεται ένα κανάλι Telegram με το όνομα «civildefense_com_ua», δημιουργήθηκε στις 10 Σεπτεμβρίου 2024. Το κανάλι είχε 184 συνδρομητές τη στιγμή της ανάλυσης. Διατηρεί επίσης έναν ιστότοπο στη διεύθυνση 'civildefense.com.ua' που καταχωρήθηκε στις 24 Απριλίου 2024.

Η «Πολιτική Άμυνα» ισχυρίζεται ότι είναι πάροχος προγραμμάτων ελεύθερου λογισμικού που έχουν σχεδιαστεί για να επιτρέπουν σε πιθανούς στρατεύσιμους να βλέπουν και να μοιράζονται τοποθεσίες στρατολογιστών από την Ουκρανία. Εάν αυτά τα προγράμματα εγκατασταθούν σε συσκευές Android που έχουν απενεργοποιημένο το Google Play Protect, έχουν σχεδιαστεί για να αναπτύσσουν ένα κακόβουλο λογισμικό εμπορευμάτων για συγκεκριμένο λειτουργικό σύστημα μαζί με μια εφαρμογή χαρτογράφησης δόλωμα που ονομάζεται SUNSPINNER.

Οι επιτιθέμενοι μολύνουν συσκευές Windows και Android

Για τους χρήστες των Windows, το αρχείο ZIP ξεκινά την ανάπτυξη ενός πρόσφατα αναγνωρισμένου προγράμματος φόρτωσης κακόβουλου λογισμικού που βασίζεται σε PHP, που ονομάζεται Pronsis, το οποίο διευκολύνει τη διανομή του SUNSPINNER και ενός stealer εκτός ραφιού, γνωστό ως PureStealer. Το PureStealer είναι διαθέσιμο για αγορά σε τιμές που κυμαίνονται από 150 $ για μηνιαία συνδρομή έως 699 $ για άδεια ζωής.

Το SUNSPINNER, εν τω μεταξύ, εμφανίζει έναν χάρτη για τους χρήστες που δείχνει υποτιθέμενες τοποθεσίες νεοσυλλέκτων Ουκρανών στρατιωτικών, ο οποίος ελέγχεται μέσω ενός διακομιστή Command-and-Control (C2) που λειτουργεί από τον παράγοντα απειλής.

Για όσους έχουν πρόσβαση στον ιστότοπο από συσκευές Android, η αλυσίδα επίθεσης αναπτύσσει ένα κακόβουλο αρχείο APK (όνομα πακέτου: 'com.http.masters'), ενσωματώνοντας έναν trojan απομακρυσμένης πρόσβασης γνωστό ως CraxsRAT. Ο ιστότοπος παρέχει επίσης οδηγίες στα θύματα σχετικά με τον τρόπο απενεργοποίησης του Google Play Protect και την παραχώρηση πλήρους αδειών στην κακόβουλη εφαρμογή, επιτρέποντάς της να λειτουργεί χωρίς περιορισμούς.

Το CraxsRAT είναι μια πολύ γνωστή οικογένεια κακόβουλου λογισμικού Android, εξοπλισμένη με εκτεταμένες δυνατότητες τηλεχειρισμού και προηγμένες λειτουργίες λογισμικού υποκλοπής spyware, όπως καταγραφή πληκτρολογίου, χειρισμό χειρονομιών και δυνατότητα εγγραφής καμερών, οθονών και κλήσεων.


Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...