Pronsis Loader

Kibernetinio saugumo tyrėjai nustatė naują kenkėjiškų programų įkroviklį, pavadintą „Pronsis Loader“. Šis krautuvas buvo pastebėtas per pastarąsias kampanijas, keliančias grėsmes, tokias kaip Lumma Stealer ir Latrodectus . Ankstyviausios „Pronsis Loader“ versijos datuojamos 2023 m. lapkričio mėn.

Ši naujai aptikta kenkėjiška programa turi panašumų su D3F@ck Loader, ypač naudojant JPHP sudarytus vykdomuosius failus, todėl abu įkroviklius galima iš esmės pakeisti. Tačiau jie skiriasi savo diegimo metodais: nors D3F@ck Loader remiasi Inno Setup Installer, Pronsis Loader naudoja Nullsoft Scriptable Install System (NSIS).

„Pronsis Loader“ yra naujos kibernetinės kampanijos prieš Ukrainos taikinius dalis

Buvo pastebėta įtariama Rusijos hibridinio šnipinėjimo ir įtakos operacija, kurios metu buvo pristatytos „Windows“ ir „Android“ kenkėjiškos programos, skirtos Ukrainos kariuomenei pagal „Telegram“ civilinę gynybą.

Tyrėjai seka veiklą pavadinimu UNC5812. Grėsmių grupė, valdanti „Telegram“ kanalą pavadinimu „civildefense_com_ua“, buvo sukurta 2024 m. rugsėjo 10 d. Analizės metu kanalas turėjo 184 prenumeratorius. Ji taip pat tvarko svetainę adresu „civildefense.com.ua“, kuri buvo užregistruota 2024 m. balandžio 24 d.

„Civilinė gynyba“ teigia esanti nemokamos programinės įrangos, skirtos potencialiems šauktiniams leisti peržiūrėti ir dalytis Ukrainos kariuomenės verbuotojų vietomis, tiekėja. Jei šios programos būtų įdiegtos „Android“ įrenginiuose, kuriuose išjungta „Google Play Protect“, jos sukurtos taip, kad įdiegtų konkrečiai operacinei sistemai skirtą kenkėjišką programą kartu su apgaulės žemėlapių sudarymo programa, pavadinta SUNSPINNER.

Užpuolikai užkrečia ir „Windows“, ir „Android“ įrenginius

„Windows“ naudotojams ZIP archyvas inicijuoja neseniai identifikuoto PHP pagrįsto kenkėjiškų programų įkroviklio, vadinamo „Pronsis“, diegimą, kuris palengvina SUNSPINNER platinimą ir „PureStealer“ vadinamą „Self-Stealer“. PureStealer galima įsigyti kainomis nuo 150 USD už mėnesio prenumeratą iki 699 USD už visą gyvenimą trunkančią licenciją.

Tuo tarpu SUNSPINNER naudotojams rodo žemėlapį, kuriame rodomos tariamos Ukrainos kariuomenės naujokų vietos, kuri valdoma per komandų ir valdymo (C2) serverį, kurį valdo grėsmės veikėjas.

Tiems, kurie pasiekia svetainę „Android“ įrenginiuose, atakų grandinė diegia kenkėjišką APK failą (paketo pavadinimas: „com.http.masters“), įterpdamas nuotolinės prieigos Trojos arklys, žinomas kaip CraxsRAT. Svetainėje taip pat pateikiamos instrukcijos aukoms, kaip išjungti „Google Play Protect“ ir suteikti kenkėjiškai programai visus leidimus, kad ji veiktų be apribojimų.

„CraxsRAT“ yra gerai žinoma „Android“ kenkėjiškų programų šeima, turinti daug nuotolinio valdymo galimybių ir pažangių šnipinėjimo programų, įskaitant klaviatūros registravimą, manipuliavimą gestais ir galimybę įrašyti kameras, ekranus ir skambučius.