Pronsis Loader
חוקרי אבטחת סייבר זיהו טוען תוכנות זדוניות חדש בשם Pronsis Loader. מטעין זה נצפה בקמפיינים האחרונים ומספק איומים כמו Lumma Stealer ו- Latrodectus . הגרסאות המוקדמות ביותר של Pronsis Loader מתוארכות לנובמבר 2023.
התוכנה הזדונית שהתגלתה לאחרונה מראה קווי דמיון ל-D3F@ck Loader, במיוחד בשימוש בקובצי הפעלה מהודרים של JPHP, מה שהופך את שני המעמיסים ניתנים להחלפה במידה רבה. עם זאת, הם נבדלים זה מזה בשיטות ההתקנה שלהם: בעוד ש-D3F@ck Loader מסתמך על Inno Setup Installer, Pronsis Loader משתמש במערכת Nullsoft Scriptable Install System (NSIS).
Pronsis Loader הוא חלק מקמפיין סייבר חדש נגד יעדים אוקראינים
חשוד בפעולת ריגול והשפעה היברידית של רוסי נצפתה מספקת שילוב של תוכנות זדוניות של Windows ואנדרואיד כדי למקד את הצבא האוקראיני תחת ההגנה האזרחית של טלגרם.
חוקרים עוקבים אחר הפעילות תחת השם UNC5812. קבוצת האיומים, המפעילה ערוץ טלגרם בשם 'civildefense_com_ua', נוצרה ב-10 בספטמבר 2024. לערוץ היו 184 מנויים בזמן הניתוח. היא גם מתחזקת אתר בכתובת 'civildefense.com.ua' שנרשם ב-24 באפריל 2024.
'הגנה אזרחית' טוענת שהיא ספקית של תוכנות חינמיות שנועדו לאפשר למתגייסים פוטנציאליים לצפות ולשתף מיקומים במקורות המונים של מגייסים צבאיים אוקראינים. אם התוכנות הללו יותקנו במכשירי אנדרואיד ש-Google Play Protect מושבתת בהם, הן מתוכננות לפרוס תוכנה זדונית ספציפית למערכת הפעלה יחד עם אפליקציית מיפוי פיתוי המכונה SUNSPINNER.
תוקפים מדביקים גם מכשירי Windows וגם אנדרואיד
עבור משתמשי Windows, ארכיון ה-ZIP יוזם פריסה של טוען תוכנות זדוניות שזוהה לאחרונה מבוסס PHP בשם Pronsis, אשר מקל על ההפצה של SUNSPINNER ושל גנב מדף המכונה PureStealer. PureStealer זמין לרכישה במחירים הנעים בין 150$ למנוי חודשי ועד 699$ לרישיון לכל החיים.
SUNSPINNER, בינתיים, מציגה מפה למשתמשים המציגה מיקומים לכאורה של טירונים צבאיים אוקראינים, אשר נשלטת באמצעות שרת פיקוד ושליטה (C2) המופעל על ידי שחקן האיום.
עבור אלו שניגשים לאתר במכשירי אנדרואיד, שרשרת ההתקפה פורסת קובץ APK זדוני (שם חבילה: 'com.http.masters'), ומטמיע טרויאני גישה מרחוק המכונה CraxsRAT. האתר מספק גם הנחיות לקורבנות כיצד להשבית את Google Play Protect ולהעניק לאפליקציה הזדונית הרשאות מלאות, מה שמאפשר לה לפעול ללא הגבלה.
CraxsRAT היא משפחת תוכנות זדוניות ידועות של אנדרואיד, המצוידת ביכולות נרחבות של שלט רחוק ופונקציות מתקדמות של תוכנות ריגול, כולל רישום מקשים, מניפולציה של מחוות ויכולת להקליט מצלמות, מסכים ושיחות.
