Pronsis Loader

A kiberbiztonsági kutatók egy új rosszindulatú programbetöltőt azonosítottak, a Pronsis Loader nevet. Ezt a betöltőt a közelmúltban olyan fenyegetéseket szállító kampányokban figyelték meg, mint a Lumma Stealer és a Latrodectus . A Pronsis Loader legkorábbi verziói 2023 novemberéből származnak.

Ez az újonnan felfedezett kártevő hasonlóságot mutat a D3F@ck Loaderrel, különösen a JPHP-vel lefordított végrehajtható fájlok használatában, így a két betöltő nagyrészt felcserélhető. Telepítési módszereikben azonban különböznek: míg a D3F@ck Loader az Inno Setup Installerre támaszkodik, a Pronsis Loader a Nullsoft Scriptable Install System (NSIS) rendszert használja.

A Pronsis Loader egy új kiberkampány része az ukrán célpontok ellen

Egy feltételezett orosz hibrid kémkedést és befolyásolást figyeltek meg, amely Windows és Android rosszindulatú szoftverek keverékét szállította az ukrán hadsereg célpontjaként a Telegram Persona Civil Defense alatt.

A kutatók UNC5812 néven követik nyomon a tevékenységet. A „civildefense_com_ua” nevű Telegram-csatornát üzemeltető fenyegetettségi csoport 2024. szeptember 10-én jött létre. A csatornának az elemzés időpontjában 184 előfizetője volt. Ezenkívül egy weboldalt is fenntart a „civildefense.com.ua” címen, amelyet 2024. április 24-én regisztráltak.

A „polgári védelem” azt állítja, hogy ingyenes szoftverprogramokat kínál, amelyek lehetővé teszik a potenciális hadkötelesek számára, hogy megtekintsék és megosszák az ukrán katonai toborzók tömeges forrásból származó helyszíneit. Ha ezeket a programokat olyan Android-eszközökön telepítik, amelyeken le van tiltva a Google Play Protect, akkor úgy tervezték őket, hogy egy operációs rendszer-specifikus árucikk-malware-t telepítsenek a SUNSPINNER elnevezésű csalitérképező alkalmazással együtt.

A támadók megfertőzik a Windows és az Android eszközöket

A Windows-felhasználók számára a ZIP-archívum elindítja a közelmúltban azonosított PHP-alapú rosszindulatú programbetöltő, a Pronsis telepítését, amely megkönnyíti a SUNSPINNER és a PureStealer néven ismert, készen lévő lopó terjesztését. A PureStealer megvásárolható 150 dollártól havi előfizetésért 699 dollárig egy életre szóló licencig.

A SUNSPINNER eközben egy térképet jelenít meg a felhasználók számára, amelyen az ukrán katonai újoncok állítólagos helyei láthatók, és amelyet a fenyegető szereplő által üzemeltetett Command-and-Control (C2) szerver vezérel.

Azok számára, akik Android-eszközökön érik el a webhelyet, a támadási lánc egy rosszindulatú APK-fájlt (csomagnév: „com.http.masters”) telepít, amely a CraxsRAT néven ismert távoli hozzáférésű trójai programot ágyaz be. A webhely ezenkívül útmutatást ad az áldozatoknak a Google Play Protect letiltásához és a rosszindulatú alkalmazás teljes körű engedélyének megadásához, amely lehetővé teszi az alkalmazás korlátozás nélküli működését.

A CraxsRAT egy jól ismert androidos rosszindulatú programcsalád, amely kiterjedt távirányító-képességekkel és fejlett kémprogram-funkciókkal rendelkezik, beleértve a billentyűnaplózást, a kézmozdulatkezelést, valamint a kamerák, képernyők és hívások rögzítésének lehetőségét.