위협 데이터베이스 멀웨어 프론시스 로더

프론시스 로더

사이버 보안 연구원들은 Pronsis Loader라는 새로운 맬웨어 로더를 식별했습니다. 이 로더는 Lumma StealerLatrodectus 와 같은 위협을 전달하는 최근 캠페인에서 관찰되었습니다. Pronsis Loader의 최초 버전은 2023년 11월로 거슬러 올라갑니다.

새로 발견된 이 맬웨어는 D3F@ck 로더와 유사점을 보이는데, 특히 JPHP로 컴파일된 실행 파일을 사용하는 점에서 두 로더를 대체로 호환할 수 있게 합니다. 그러나 설치 방법에서 차이가 있습니다. D3F@ck 로더는 Inno Setup Installer를 사용하는 반면, Pronsis 로더는 Nullsoft Scriptable Install System(NSIS)을 사용합니다.

Pronsis Loader는 우크라이나 타겟을 향한 새로운 사이버 캠페인의 일부입니다.

윈도우와 안드로이드 맬웨어를 혼합하여 텔레그램의 Civil Defense라는 이름으로 우크라이나 군대를 표적으로 삼아 진행된 러시아의 혼합형 간첩 및 영향력 행사 작전이 관찰되었습니다.

연구원들은 UNC5812라는 이름으로 활동을 추적하고 있습니다. 'civildefense_com_ua'라는 텔레그램 채널을 운영하는 위협 그룹은 2024년 9월 10일에 만들어졌습니다. 이 채널은 분석 당시 184명의 구독자가 있었습니다. 또한 2024년 4월 24일에 등록된 'civildefense.com.ua'라는 웹사이트를 유지 관리하고 있습니다.

'시빌 디펜스'는 잠재적 징집병이 우크라이나 군 모집 담당자의 크라우드소싱 위치를 보고 공유할 수 있도록 설계된 무료 소프트웨어 프로그램 제공업체라고 주장합니다. 이러한 프로그램이 Google Play Protect가 비활성화된 Android 기기에 설치되면 SUNSPINNER라는 미끼 매핑 애플리케이션과 함께 운영 체제별 상품 맬웨어를 배포하도록 설계되었습니다.

공격자는 Windows와 Android 기기를 모두 감염시킵니다.

Windows 사용자의 경우 ZIP 아카이브는 Pronsis라는 최근 식별된 PHP 기반 맬웨어 로더의 배포를 시작하는데, 이는 SUNSPINNER와 PureStealer라는 기성품 스틸러의 배포를 용이하게 합니다. PureStealer는 월 구독료 150달러부터 평생 라이선스 699달러까지 다양한 가격으로 구매할 수 있습니다.

그 사이, SUNSPINNER는 우크라이나 군 신병들의 위치를 보여주는 지도를 사용자에게 표시하는데, 이 지도는 위협 행위자가 운영하는 명령 및 제어(C2) 서버를 통해 제어됩니다.

Android 기기에서 사이트에 액세스하는 경우 공격 체인은 악성 APK 파일(패키지 이름: 'com.http.masters')을 배포하여 CraxsRAT라는 원격 액세스 트로이 목마를 내장합니다. 이 웹사이트는 또한 피해자에게 Google Play Protect를 비활성화하고 악성 앱에 전체 권한을 부여하여 제한 없이 작동할 수 있도록 하는 방법에 대한 지침을 제공합니다.

CraxsRAT 는 광범위한 원격 제어 기능과 키로깅, 제스처 조작, 카메라, 화면, 통화 기록 기능을 포함한 고급 스파이웨어 기능을 갖춘 잘 알려진 안드로이드 맬웨어 제품군입니다.


트렌드

가장 많이 본

로드 중...