Pronsis Loader

Kyberturvallisuustutkijat ovat löytäneet uuden haittaohjelmien latausohjelman nimeltä Pronsis Loader. Tämä kuormaaja on havaittu viimeaikaisissa kampanjoissa, joissa on toimitettu uhkia, kuten Lumma Stealer ja Latrodectus . Pronsis Loaderin vanhimmat versiot ovat peräisin marraskuusta 2023.

Tämä äskettäin löydetty haittaohjelma osoittaa yhtäläisyyksiä D3F@ck Loaderin kanssa, erityisesti sen JPHP-käännettyjen suoritettavien tiedostojen käytössä, mikä tekee kahdesta latausohjelmasta suurelta osin keskenään vaihdettavissa. Ne eroavat kuitenkin asennusmenetelmistään: kun D3F@ck Loader luottaa Inno Setup Installeriin, Pronsis Loader käyttää Nullsoft Scriptable Install System (NSIS) -asennusjärjestelmää.

Pronsis Loader on osa uutta kyberkampanjaa ukrainalaisia kohteita vastaan

On havaittu epäilty venäläinen hybridivakoilu- ja vaikuttamisoperaatio, joka on toimittanut yhdistelmän Windows- ja Android-haittaohjelmia Ukrainan armeijalle Telegram Person Civil Defense -siviilipuolustuksen alaisuudessa.

Tutkijat seuraavat toimintaa nimellä UNC5812. Uhkaryhmä, joka ylläpitää Telegram-kanavaa nimeltä 'civildefense_com_ua', perustettiin 10. syyskuuta 2024. Kanavalla oli analyysihetkellä 184 tilaajaa. Se ylläpitää myös verkkosivustoa osoitteessa 'civildefense.com.ua', joka rekisteröitiin 24. huhtikuuta 2024.

"Siviilipuolustus" väittää tarjoavansa ilmaisia ohjelmistoja, jotka on suunniteltu antamaan mahdollisille varusmiehille mahdollisuus tarkastella ja jakaa Ukrainan armeijan värväysten joukkolähteitä. Jos nämä ohjelmat asennetaan Android-laitteisiin, joissa Google Play Protect on poistettu käytöstä, ne on suunniteltu ottamaan käyttöön käyttöjärjestelmäkohtainen hyödykehaittaohjelma sekä SUNSPINNER-niminen houkutuskartoitussovellus.

Hyökkääjät saastuttavat sekä Windows- että Android-laitteet

Windows-käyttäjille ZIP-arkisto käynnistää äskettäin tunnistetun Pronsis-nimisen PHP-pohjaisen haittaohjelmien latausohjelman käyttöönoton, mikä helpottaa SUNSPINNERin ja PureStealer-nimellä tunnetun valmiin varastajan jakelua. PureStealer on ostettavissa hintaan, joka vaihtelee 150 dollarista kuukausitilauksesta 699 dollariin elinikäiseen lisenssiin.

SUNSPINNER puolestaan näyttää käyttäjille kartan, jossa näkyvät Ukrainan armeijan värvättyjen väitetyt sijainnit, ja jota ohjataan uhkatoimijan ylläpitämän Command-and-Control (C2) -palvelimen kautta.

Niille, jotka käyttävät sivustoa Android-laitteilla, hyökkäysketju ottaa käyttöön haitallisen APK-tiedoston (paketin nimi: 'com.http.masters'), joka sisältää etäkäyttötroijalaisen, joka tunnetaan nimellä CraxsRAT. Sivusto tarjoaa myös ohjeita uhreille Google Play Protectin poistamiseen käytöstä ja haitalliselle sovellukselle täydellisten käyttöoikeuksien myöntämisestä, jotta se voi toimia rajoituksetta.

CraxsRAT on tunnettu Android-haittaohjelmaperhe, joka on varustettu laajoilla kaukosäätimen ominaisuuksilla ja edistyneillä vakoiluohjelmatoiminnoilla, mukaan lukien näppäinloki, elemanipulaatio ja kyky tallentaa kameroita, näyttöjä ja puheluita.