Pronsis laadija

Küberturvalisuse teadlased on tuvastanud uue pahavara laadija nimega Pronsis Loader. Seda laadijat on täheldatud viimaste kampaaniate käigus, mis toovad kaasa selliseid ohte nagu Lumma Stealer ja Latrodectus . Pronsis Loaderi varasemad versioonid pärinevad 2023. aasta novembrist.

Sellel äsja avastatud pahavaral on sarnasusi D3F@ck Loaderiga, eriti JPHP-ga kompileeritud käivitatavate failide kasutamisel, muutes need kaks laadijat suures osas omavahel asendatavaks. Kuid need erinevad installimeetodite poolest: kui D3F@ck Loader tugineb Inno Setup Installerile, siis Pronsis Loader kasutab Nullsoft Scriptable Install Systemi (NSIS).

Pronsis Loader on osa uuest Ukraina sihtmärkide vastasest küberkampaaniast

Täheldatud on kahtlustatavat Venemaa hübriidspionaaži ja mõjutamisoperatsiooni, mis edastab Telegrami tsiviilkaitse alluvuses Ukraina sõjaväe sihikule Windowsi ja Androidi pahavara segu.

Teadlased jälgivad tegevust UNC5812 nime all. Ohurühm, mis haldab Telegrami kanalit nimega „civildefense_com_ua”, loodi 10. septembril 2024. Kanalil oli analüüsi ajal 184 tellijat. Samuti haldab ta veebisaiti aadressil 'civildefense.com.ua', mis registreeriti 24. aprillil 2024.

„Tsiviilkaitse” väidab end olevat tasuta tarkvaraprogrammide pakkuja, mis on loodud selleks, et potentsiaalsed ajateenijad saaksid vaadata ja jagada Ukraina sõjaväe värbajate asukohti. Kui need programmid installitakse Android-seadmetesse, mille Google Play Protect on keelatud, on need loodud juurutama operatsioonisüsteemispetsiifilist kauba pahavara koos peibutuskaardistamise rakendusega, mille nimi on SUNSPINNER.

Ründajad nakatavad nii Windowsi kui ka Androidi seadmeid

Windowsi kasutajate jaoks käivitab ZIP-arhiiv hiljuti tuvastatud PHP-põhise pahavaralaadija Pronsis juurutamise, mis hõlbustab SUNSPINNERi ja PureStealeri nime all tuntud varguse levitamist. PureStealeri saab osta hinnaga alates 150 dollarist kuutellimuse eest kuni 699 dollarini eluaegse litsentsi eest.

Vahepeal kuvab SUNSPINNER kasutajatele kaarti, mis näitab Ukraina sõjaväelaste väidetavaid asukohti, mida juhitakse ohustaja hallatava Command-and-Control (C2) serveri kaudu.

Neile, kes pääsevad saidile Android-seadmetes, juurutab ründeahel pahatahtliku APK-faili (paketi nimi: com.http.masters), mis manustab kaugjuurdepääsu troojalase nimega CraxsRAT. Veebisait annab ohvritele ka juhiseid Google Play Protecti keelamiseks ja pahatahtlikule rakendusele täielike õiguste andmiseks, võimaldades sellel piiranguteta töötada.

CraxsRAT on tuntud Androidi pahavara perekond, mis on varustatud ulatuslike kaugjuhtimisvõimaluste ja täiustatud nuhkvarafunktsioonidega, sealhulgas klahvilogimine, žestidega manipuleerimine ning võimalus salvestada kaameraid, ekraane ja kõnesid.