Pronsis Loader

محققان امنیت سایبری یک بارگزار بدافزار جدید به نام Pronsis Loader را شناسایی کردند. این لودر در کمپین های اخیر مشاهده شده است که تهدیداتی مانند Lumma Stealer و Latrodectus را ارائه می کند. اولین نسخه های Pronsis Loader به نوامبر 2023 باز می گردد.

این بدافزار تازه کشف‌شده شباهت‌هایی به D3F@ck Loader نشان می‌دهد، به‌ویژه در استفاده از فایل‌های اجرایی کامپایل‌شده با JPHP، که باعث می‌شود این دو بارگذار تا حد زیادی قابل تعویض باشند. با این حال، آنها در روش های نصب کننده خود متفاوت هستند: در حالی که D3F@ck Loader به Inno Setup Installer متکی است، Pronsis Loader از Nullsoft Scriptable Install System (NSIS) استفاده می کند.

Pronsis Loader بخشی از یک کمپین سایبری جدید علیه اهداف اوکراینی است

یک عملیات مشکوک جاسوسی و نفوذ هیبریدی روسیه مشاهده شده است که ترکیبی از بدافزار ویندوز و اندروید را برای هدف قرار دادن ارتش اوکراین تحت عنوان «دفاع مدنی تلگرام» ارائه می‌کند.

محققان این فعالیت را با نام UNC5812 دنبال می کنند. گروه تهدید، که یک کانال تلگرامی به نام 'civildefense_com_ua' را اداره می کند، در 10 سپتامبر 2024 ایجاد شد. این کانال در زمان تجزیه و تحلیل دارای 184 مشترک بود. همچنین یک وب سایت به آدرس 'civildefense.com.ua' دارد که در 24 آوریل 2024 ثبت شده است.

«دفاع مدنی» ادعا می‌کند که ارائه‌دهنده برنامه‌های نرم‌افزاری رایگان است که به سربازان بالقوه امکان می‌دهد مکان‌های جذب‌شده ارتش اوکراین را مشاهده کرده و به اشتراک بگذارند. اگر این برنامه‌ها بر روی دستگاه‌های اندرویدی که Google Play Protect غیرفعال شده‌اند نصب شوند، به گونه‌ای طراحی شده‌اند که یک بدافزار کالای خاص سیستم‌عامل را به همراه یک برنامه نقشه‌برداری فریبنده به نام SUNSPINNER اجرا کنند.

مهاجمان هر دو دستگاه ویندوز و اندروید را آلوده می کنند

برای کاربران ویندوز، بایگانی ZIP راه‌اندازی یک بارکننده بدافزار مبتنی بر PHP به نام Pronsis را که اخیراً شناسایی شده است، آغاز می‌کند که توزیع SUNSPINNER و یک دزد خارج از قفسه به نام PureStealer را تسهیل می‌کند. PureStealer برای خرید با قیمت هایی از 150 دلار برای اشتراک ماهانه تا 699 دلار برای مجوز مادام العمر در دسترس است.

در همین حال، SUNSPINNER نقشه‌ای را برای کاربران نمایش می‌دهد که مکان‌های ادعایی استخدام‌کنندگان ارتش اوکراین را نشان می‌دهد که از طریق یک سرور Command-and-Control (C2) که توسط عامل تهدید اداره می‌شود، کنترل می‌شود.

برای کسانی که در دستگاه‌های اندرویدی به سایت دسترسی دارند، زنجیره حمله یک فایل APK مخرب (نام بسته: 'com.http.masters') را مستقر می‌کند که یک تروجان دسترسی از راه دور به نام CraxsRAT را تعبیه می‌کند. این وب‌سایت همچنین دستورالعمل‌هایی را به قربانیان در مورد نحوه غیرفعال کردن Google Play Protect و اعطای مجوزهای کامل به برنامه مخرب ارائه می‌کند و آن را قادر می‌سازد بدون محدودیت کار کند.

CraxsRAT یک خانواده بدافزار معروف اندروید است که به قابلیت‌های کنترل از راه دور گسترده و عملکردهای جاسوس‌افزار پیشرفته، از جمله keylogging، دستکاری ژست‌ها، و توانایی ضبط دوربین‌ها، صفحه‌نمایش و تماس‌ها مجهز است.