Caricatore Pronsis

I ricercatori di sicurezza informatica hanno identificato un nuovo malware loader denominato Pronsis Loader. Questo loader è stato osservato in recenti campagne che distribuivano minacce come Lumma Stealer e Latrodectus . Le prime versioni di Pronsis Loader risalgono a novembre 2023.

Questo malware appena scoperto mostra somiglianze con D3F@ck Loader, in particolare nell'uso di eseguibili compilati JPHP, rendendo i due loader ampiamente intercambiabili. Tuttavia, differiscono nei loro metodi di installazione: mentre D3F@ck Loader si basa su Inno Setup Installer, Pronsis Loader utilizza Nullsoft Scriptable Install System (NSIS).

Il Pronsis Loader fa parte di una nuova campagna informatica contro obiettivi ucraini

È stata osservata una sospetta operazione ibrida di spionaggio e influenza russa, che ha distribuito un mix di malware per Windows e Android per colpire l'esercito ucraino tramite l'identità di Telegram Civil Defense.

I ricercatori stanno monitorando l'attività sotto il nome UNC5812. Il gruppo di minacce, che gestisce un canale Telegram denominato "civildefense_com_ua", è stato creato il 10 settembre 2024. Il canale aveva 184 iscritti al momento dell'analisi. Gestisce inoltre un sito Web all'indirizzo "civildefense.com.ua" registrato il 24 aprile 2024.

'Civil Defense' afferma di essere un fornitore di programmi software gratuiti progettati per consentire ai potenziali coscritti di visualizzare e condividere le posizioni crowdsourcing dei reclutatori militari ucraini. Se questi programmi vengono installati su dispositivi Android con Google Play Protect disabilitato, sono progettati per distribuire un malware commerciale specifico del sistema operativo insieme a un'applicazione di mappatura esca denominata SUNSPINNER.

Gli aggressori infettano sia i dispositivi Windows che Android

Per gli utenti Windows, l'archivio ZIP avvia la distribuzione di un malware loader basato su PHP recentemente identificato chiamato Pronsis, che facilita la distribuzione di SUNSPINNER e di uno stealer standard noto come PureStealer. PureStealer è disponibile per l'acquisto a prezzi che vanno da $ 150 per un abbonamento mensile a $ 699 per una licenza a vita.

Nel frattempo, SUNSPINNER mostra agli utenti una mappa che mostra le presunte posizioni delle reclute militari ucraine, gestita tramite un server di comando e controllo (C2) gestito dall'autore della minaccia.

Per coloro che accedono al sito su dispositivi Android, la catena di attacco distribuisce un file APK dannoso (nome pacchetto: 'com.http.masters'), che incorpora un trojan di accesso remoto noto come CraxsRAT. Il sito Web fornisce anche istruzioni alle vittime su come disattivare Google Play Protect e concedere all'app dannosa permessi completi, consentendole di funzionare senza restrizioni.

CraxsRAT è una nota famiglia di malware per Android, dotata di ampie capacità di controllo remoto e funzioni spyware avanzate, tra cui il keylogging, la manipolazione dei gesti e la capacità di registrare telecamere, schermate e chiamate.