Pronsis Loader
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណកម្មវិធីផ្ទុកមេរោគថ្មីមួយដែលមានឈ្មោះថា Pronsis Loader ។ កម្មវិធីផ្ទុកនេះត្រូវបានគេសង្កេតឃើញនៅក្នុងយុទ្ធនាការថ្មីៗដែលផ្តល់នូវការគំរាមកំហែងដូចជា Lumma Stealer និង Latrodectus ។ កំណែដំបូងបំផុតរបស់ Pronsis Loader មានកាលបរិច្ឆេទត្រឡប់ទៅខែវិច្ឆិកា ឆ្នាំ 2023។
មេរោគដែលបានរកឃើញថ្មីនេះបង្ហាញពីភាពស្រដៀងគ្នាទៅនឹង D3F@ck Loader ជាពិសេសនៅក្នុងការប្រើប្រាស់របស់វានូវកម្មវិធីប្រតិបត្តិដែលបានចងក្រងដោយ JPHP ដែលធ្វើឱ្យកម្មវិធីផ្ទុកទិន្នន័យទាំងពីរអាចផ្លាស់ប្តូរបានច្រើន។ ទោះយ៉ាងណាក៏ដោយ ពួកវាខុសគ្នានៅក្នុងវិធីដំឡើងរបស់ពួកគេ៖ ខណៈពេលដែល D3F@ck Loader ពឹងផ្អែកលើកម្មវិធីដំឡើង Inno នោះ Pronsis Loader ប្រើប្រាស់ Nullsoft Scriptable Install System (NSIS)។
Pronsis Loader គឺជាផ្នែកមួយនៃយុទ្ធនាការតាមអ៊ីនធឺណិតថ្មីប្រឆាំងនឹងគោលដៅអ៊ុយក្រែន
ប្រតិបត្តិការចារកម្ម និងឥទ្ធិពលកូនកាត់របស់រុស្ស៊ីដែលសង្ស័យត្រូវបានគេសង្កេតឃើញបានចែកចាយមេរោគ Windows និង Android ចម្រុះ ដើម្បីកំណត់គោលដៅយោធាអ៊ុយក្រែនក្រោម Telegram persona Civil Defense ។
អ្នកស្រាវជ្រាវកំពុងតាមដានសកម្មភាពក្រោមឈ្មោះ UNC5812 ។ ក្រុមគំរាមកំហែងដែលដំណើរការឆានែល Telegram ដែលមានឈ្មោះថា 'civildefense_com_ua' ត្រូវបានបង្កើតឡើងនៅថ្ងៃទី 10 ខែកញ្ញា ឆ្នាំ 2024។ ប៉ុស្តិ៍នេះមានអ្នកជាវ 184 នាក់នៅពេលធ្វើការវិភាគ។ វាក៏រក្សាគេហទំព័រមួយនៅ 'civildefense.com.ua' ដែលត្រូវបានចុះឈ្មោះនៅថ្ងៃទី 24 ខែមេសា ឆ្នាំ 2024។
'Civil Defense' អះអាងថាជាអ្នកផ្តល់កម្មវិធីកម្មវិធីឥតគិតថ្លៃដែលត្រូវបានរចនាឡើងដើម្បីអនុញ្ញាតឱ្យទាហានមានសក្ដានុពលដើម្បីមើល និងចែករំលែកទីតាំងដែលមានប្រភពច្រើននៃអ្នកជ្រើសរើសយោធាអ៊ុយក្រែន។ ប្រសិនបើកម្មវិធីទាំងនេះត្រូវបានដំឡើងនៅលើឧបករណ៍ Android ដែលមាន Google Play Protect ត្រូវបានបិទ ពួកគេត្រូវបានវិស្វកម្មដើម្បីដាក់ពង្រាយមេរោគទំនិញជាក់លាក់នៃប្រព័ន្ធប្រតិបត្តិការ រួមជាមួយនឹងកម្មវិធីគូសផែនទីក្លែងក្លាយដែលមានឈ្មោះថា SUNSPINNER ។
អ្នកវាយប្រហារឆ្លងទាំងឧបករណ៍ Windows និង Android
សម្រាប់អ្នកប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ Windows បណ្ណសារហ្ស៊ីបផ្តួចផ្តើមការដាក់ឱ្យប្រើប្រាស់កម្មវិធីផ្ទុកមេរោគដែលមានមូលដ្ឋានលើ PHP ដែលត្រូវបានកំណត់អត្តសញ្ញាណថ្មីៗនេះហៅថា Pronsis ដែលសម្របសម្រួលការចែកចាយ SUNSPINNER និងអ្នកលួចក្រៅធ្នើដែលគេស្គាល់ថា PureStealer ។ PureStealer អាចរកទិញបានក្នុងតម្លៃចាប់ពី $150 សម្រាប់ការជាវប្រចាំខែដល់ $699 សម្រាប់អាជ្ញាប័ណ្ណពេញមួយជីវិត។
ទន្ទឹមនឹងនោះ SUNSPINNER បង្ហាញផែនទីសម្រាប់អ្នកប្រើប្រាស់ដែលបង្ហាញទីតាំងដែលគេចោទប្រកាន់ថាអ្នកជ្រើសរើសយោធាអ៊ុយក្រែន ដែលត្រូវបានគ្រប់គ្រងតាមរយៈម៉ាស៊ីនមេ Command-and-Control (C2) ដែលដំណើរការដោយអ្នកគំរាមកំហែង។
សម្រាប់អ្នកដែលចូលប្រើគេហទំព័រនៅលើឧបករណ៍ Android ខ្សែសង្វាក់វាយប្រហារដាក់ពង្រាយឯកសារ APK ព្យាបាទ (ឈ្មោះកញ្ចប់៖ 'com.http.masters') ដោយបង្កប់ Trojan ពីចម្ងាយដែលគេស្គាល់ថា CraxsRAT ។ គេហទំព័រនេះក៏ផ្តល់ការណែនាំដល់ជនរងគ្រោះអំពីរបៀបបិទ Google Play Protect និងផ្តល់ការអនុញ្ញាតពេញលេញដល់កម្មវិធីព្យាបាទ ដែលធ្វើឱ្យវាដំណើរការដោយគ្មានការរឹតបន្តឹង។
CraxsRAT គឺជាគ្រួសារមេរោគ Android ដ៏ល្បីមួយ ដែលបំពាក់ដោយសមត្ថភាពបញ្ជាពីចម្ងាយយ៉ាងទូលំទូលាយ និងមុខងារ spyware កម្រិតខ្ពស់ រួមទាំងការចាក់សោរ ការគ្រប់គ្រងកាយវិការ និងសមត្ថភាពក្នុងការថតកាមេរ៉ា អេក្រង់ និងការហៅទូរសព្ទ។
