Pronsis iekrāvējs

Kiberdrošības pētnieki ir identificējuši jaunu ļaunprātīgas programmatūras ielādētāju ar nosaukumu Pronsis Loader. Šis iekrāvējs ir novērots pēdējās kampaņās, kas rada tādus draudus kā Lumma Stealer un Latrodectus . Agrākās Pronsis Loader versijas ir datētas ar 2023. gada novembri.

Šai jaunatklātajai ļaunprogrammatūrai ir līdzības ar D3F@ck Loader, jo īpaši JPHP kompilētu izpildāmo failu izmantošanā, padarot abus ielādētājus lielākoties savstarpēji aizstājamus. Tomēr to instalēšanas metodes atšķiras: kamēr D3F@ck Loader paļaujas uz Inno Setup Installer, Pronsis Loader izmanto Nullsoft Scriptable Install System (NSIS).

Pronsis Loader ir daļa no jaunas kiberkampaņas pret Ukrainas mērķiem

Ir novērota aizdomas par Krievijas hibrīdspiegošanas un ietekmes operāciju, kas piegādāja Windows un Android ļaunprogrammatūru, lai mērķētu uz Ukrainas militārpersonām Telegram personā Civilā aizsardzība.

Pētnieki izseko darbību ar nosaukumu UNC5812. Draudu grupa, kas pārvalda Telegram kanālu ar nosaukumu “civildefense_com_ua”, tika izveidota 2024. gada 10. septembrī. Analīzes laikā kanālam bija 184 abonenti. Tā arī uztur vietni “civildefense.com.ua”, kas tika reģistrēta 2024. gada 24. aprīlī.

“Civilā aizsardzība” apgalvo, ka piedāvā bezmaksas programmatūras programmas, kas paredzētas, lai potenciālie obligātā dienesta karavīri varētu skatīt un koplietot Ukrainas militāro vervētāju atrašanās vietas, kas tiek iegūtas no kolektīvās palīdzības. Ja šīs programmas tiek instalētas Android ierīcēs, kurās ir atspējota Google Play Protect, tās ir izstrādātas, lai izvietotu operētājsistēmai specifisku preču ļaunprātīgu programmatūru kopā ar mānekļu kartēšanas lietojumprogrammu ar nosaukumu SUNSPINNER.

Uzbrucēji inficē gan Windows, gan Android ierīces

Windows lietotājiem ZIP arhīvs ierosina nesen identificēta uz PHP balstīta ļaunprogrammatūras ielādētāja Pronsis izvietošanu, kas atvieglo SUNSPINNER un gatavā zagļa, kas pazīstams kā PureStealer, izplatīšanu. PureStealer ir pieejams iegādei par cenām, sākot no USD 150 par ikmēneša abonementu līdz USD 699 par mūža licenci.

Tikmēr SUNSPINNER lietotājiem parāda karti, kurā ir redzamas iespējamās Ukrainas militārpersonu atrašanās vietas, ko kontrolē, izmantojot Command-and-Control (C2) serveri, ko pārvalda apdraudējuma dalībnieks.

Tiem, kas piekļūst vietnei Android ierīcēs, uzbrukuma ķēde izvieto ļaunprātīgu APK failu (pakotnes nosaukums: “com.http.masters”), kurā ir iegults attālās piekļuves Trojas zirgs, kas pazīstams kā CraxsRAT. Tīmekļa vietne arī sniedz norādījumus upuriem par to, kā atspējot Google Play Protect un piešķirt ļaunprātīgai lietotnei pilnas atļaujas, ļaujot tai darboties bez ierobežojumiem.

CraxsRAT ir plaši pazīstama Android ļaunprātīgas programmatūras saime, kas aprīkota ar plašām tālvadības pults iespējām un uzlabotām spiegprogrammatūras funkcijām, tostarp taustiņu reģistrēšanu, žestu manipulāciju un iespēju ierakstīt kameras, ekrānus un zvanus.