प्रोनसिस लोडर

साइबर सुरक्षा शोधकर्ताओं ने प्रोनसिस लोडर नामक एक नए मैलवेयर लोडर की पहचान की है। इस लोडर को हाल ही में लुम्मा स्टीलर और लैट्रोडेक्टस जैसे खतरे देने वाले अभियानों में देखा गया है। प्रोनसिस लोडर के शुरुआती संस्करण नवंबर 2023 तक के हैं।

यह नया खोजा गया मैलवेयर D3F@ck लोडर से समानता दिखाता है, खास तौर पर JPHP-संकलित निष्पादनयोग्य के उपयोग में, जिससे दोनों लोडर काफी हद तक एक दूसरे के स्थान पर इस्तेमाल किए जा सकते हैं। हालाँकि, वे अपने इंस्टॉलर तरीकों में भिन्न हैं: जबकि D3F@ck लोडर इनो सेटअप इंस्टॉलर पर निर्भर करता है, प्रोनसिस लोडर नुलसॉफ्ट स्क्रिप्टेबल इंस्टॉल सिस्टम (NSIS) का उपयोग करता है।

प्रोनसिस लोडर यूक्रेनी लक्ष्यों के खिलाफ एक नए साइबर अभियान का हिस्सा है

एक संदिग्ध रूसी हाइब्रिड जासूसी और प्रभाव ऑपरेशन देखा गया है, जो टेलीग्राम व्यक्तित्व सिविल डिफेंस के तहत यूक्रेनी सेना को निशाना बनाने के लिए विंडोज और एंड्रॉइड मैलवेयर का मिश्रण वितरित करता है।

शोधकर्ता UNC5812 नाम से इस गतिविधि पर नज़र रख रहे हैं। यह ख़तरा समूह, जो 'civildefense_com_ua' नाम से एक टेलीग्राम चैनल चलाता है, 10 सितंबर, 2024 को बनाया गया था। विश्लेषण के समय चैनल के 184 सब्सक्राइबर थे। यह 'civildefense.com.ua' नाम से एक वेबसाइट भी चलाता है जिसे 24 अप्रैल, 2024 को पंजीकृत किया गया था।

'सिविल डिफेंस' का दावा है कि यह मुफ़्त सॉफ़्टवेयर प्रोग्राम प्रदान करने वाला है, जो संभावित भर्तीकर्ताओं को यूक्रेनी सैन्य भर्तीकर्ताओं के क्राउडसोर्स किए गए स्थानों को देखने और साझा करने में सक्षम बनाता है। अगर ये प्रोग्राम एंड्रॉइड डिवाइस पर इंस्टॉल किए जाते हैं, जिनमें Google Play Protect अक्षम है, तो उन्हें एक ऑपरेटिंग सिस्टम-विशिष्ट कमोडिटी मैलवेयर के साथ-साथ SUNSPINNER नामक एक नकली मैपिंग एप्लिकेशन को तैनात करने के लिए इंजीनियर किया जाता है।

हमलावर विंडोज और एंड्रॉयड दोनों डिवाइस को संक्रमित करते हैं

विंडोज उपयोगकर्ताओं के लिए, ज़िप आर्काइव हाल ही में पहचाने गए PHP-आधारित मैलवेयर लोडर प्रोनसिस की तैनाती शुरू करता है, जो SUNSPINNER और PureStealer नामक एक ऑफ-द-शेल्फ स्टीलर के वितरण की सुविधा प्रदान करता है। PureStealer मासिक सदस्यता के लिए $150 से लेकर आजीवन लाइसेंस के लिए $699 तक की कीमतों पर खरीदने के लिए उपलब्ध है।

इस बीच, सनस्पिनर (SUNSPINNER) उपयोगकर्ताओं के लिए एक मानचित्र प्रदर्शित करता है, जिसमें यूक्रेनी सैन्य भर्तियों के कथित स्थान दर्शाए जाते हैं, जिसे कमांड-एंड-कंट्रोल (C2) सर्वर के माध्यम से नियंत्रित किया जाता है, जिसे खतरा पैदा करने वाले व्यक्ति द्वारा संचालित किया जाता है।

एंड्रॉइड डिवाइस पर साइट एक्सेस करने वालों के लिए, अटैक चेन एक दुर्भावनापूर्ण APK फ़ाइल (पैकेज नाम: 'com.http.masters') तैनात करता है, जिसमें CraxsRAT नामक रिमोट एक्सेस ट्रोजन एम्बेड किया जाता है। वेबसाइट पीड़ितों को Google Play Protect को अक्षम करने और दुर्भावनापूर्ण ऐप को पूर्ण अनुमतियाँ देने के तरीके के बारे में निर्देश भी देती है, जिससे यह बिना किसी प्रतिबंध के काम कर सके।

क्रेक्सआरएटी (CraxsRAT) एक प्रसिद्ध एंड्रॉयड मैलवेयर परिवार है, जो व्यापक रिमोट कंट्रोल क्षमताओं और उन्नत स्पाइवेयर कार्यों से लैस है, जिसमें कीलॉगिंग, जेस्चर मैनिपुलेशन और कैमरा, स्क्रीन और कॉल रिकॉर्ड करने की क्षमता शामिल है।