Pemuat Pronsis

Penyelidik keselamatan siber telah mengenal pasti pemuat perisian hasad baharu bernama Pronsis Loader. Pemuat ini telah diperhatikan dalam kempen baru-baru ini yang menyampaikan ancaman seperti Lumma Stealer dan Latrodectus . Versi terawal Pemuat Pronsis bermula pada November 2023.

Malware yang baru ditemui ini menunjukkan persamaan dengan D3F@ck Loader, terutamanya dalam penggunaan boleh laku yang disusun JPHP, menjadikan kedua-dua pemuat itu sebahagian besarnya boleh ditukar ganti. Walau bagaimanapun, mereka berbeza dalam kaedah pemasang mereka: manakala Pemuat D3F@ck bergantung pada Pemasang Persediaan Inno, Pemuat Pronsis menggunakan Sistem Pemasangan Skrip Nullsoft (NSIS).

Pemuat Pronsis adalah Sebahagian daripada Kempen Siber Baharu terhadap Sasaran Ukraine

Operasi pengintipan dan pengaruh hibrid Rusia yang disyaki telah diperhatikan menyampaikan gabungan perisian hasad Windows dan Android untuk menyasarkan tentera Ukraine di bawah Pertahanan Awam persona Telegram.

Penyelidik menjejaki aktiviti tersebut di bawah nama UNC5812. Kumpulan ancaman, yang mengendalikan saluran Telegram bernama 'civildefense_com_ua,' telah dicipta pada 10 September 2024. Saluran itu mempunyai 184 pelanggan pada masa analisis. Ia juga mengekalkan tapak web di 'civildefense.com.ua' yang telah didaftarkan pada 24 April 2024.

'Pertahanan Awam' mendakwa sebagai penyedia program perisian percuma yang direka untuk membolehkan bakal kerahan tentera melihat dan berkongsi lokasi sumber ramai perekrut tentera Ukraine. Sekiranya program ini dipasang pada peranti Android yang telah melumpuhkan Google Play Protect, ia direka bentuk untuk menggunakan perisian hasad komoditi khusus sistem pengendalian bersama-sama dengan aplikasi pemetaan tipu yang digelar SUNSPINNER.

Penyerang Menjangkiti Kedua-dua Peranti Windows dan Android

Untuk pengguna Windows, arkib ZIP memulakan penggunaan pemuat perisian hasad berasaskan PHP yang dikenal pasti baru-baru ini dipanggil Pronsis, yang memudahkan pengedaran SUNSPINNER dan pencuri luar biasa yang dikenali sebagai PureStealer. PureStealer tersedia untuk pembelian pada harga antara $150 untuk langganan bulanan hingga $699 untuk lesen seumur hidup.

Sementara itu, SUNSPINNER memaparkan peta untuk pengguna yang menunjukkan lokasi yang dikatakan rekrut tentera Ukraine, yang dikawal melalui pelayan Command-and-Control (C2) yang dikendalikan oleh aktor ancaman.

Bagi mereka yang mengakses tapak pada peranti Android, rantaian serangan menggunakan fail APK berniat jahat (nama pakej: 'com.http.masters'), membenamkan trojan akses jauh yang dikenali sebagai CraxsRAT. Tapak web ini juga memberikan arahan kepada mangsa tentang cara untuk melumpuhkan Google Play Protect dan memberikan kebenaran penuh apl hasad, membolehkannya beroperasi tanpa sekatan.

CraxsRAT ialah keluarga perisian hasad Android yang terkenal, dilengkapi dengan keupayaan kawalan jauh yang luas dan fungsi perisian pengintip lanjutan, termasuk pengelogan kunci, manipulasi gerak isyarat dan keupayaan untuk merakam kamera, skrin dan panggilan.