Pronsis Loader

Cybersikkerhetsforskere har identifisert en ny malware-laster kalt Pronsis Loader. Denne lasteren har blitt observert i nylige kampanjer som leverer trusler som Lumma Stealer og Latrodectus . De tidligste versjonene av Pronsis Loader dateres tilbake til november 2023.

Denne nyoppdagede skadevare viser likheter med D3F@ck Loader, spesielt i bruken av JPHP-kompilerte kjørbare filer, noe som gjør de to lasterne stort sett utskiftbare. Imidlertid er de forskjellige i installasjonsmetoder: mens D3F@ck Loader er avhengig av Inno Setup Installer, bruker Pronsis Loader Nullsoft Scriptable Install System (NSIS).

Pronsis Loader er en del av en ny cyberkampanje mot ukrainske mål

En mistenkt russisk hybrid spionasje- og påvirkningsoperasjon har blitt observert som leverer en blanding av Windows- og Android-malware for å målrette det ukrainske militæret under Telegram-persona Civil Defense.

Forskere sporer aktiviteten under navnet UNC5812. Trusselgruppen, som driver en Telegram-kanal kalt 'civildefense_com_ua', ble opprettet 10. september 2024. Kanalen hadde 184 abonnenter på analysetidspunktet. Den har også et nettsted på 'civildefense.com.ua' som ble registrert 24. april 2024.

'Sivilforsvar' hevder å være en leverandør av gratis programvare utviklet for å gjøre det mulig for potensielle vernepliktige å se og dele ukrainske militære rekrutterere som er tildelt publikum. Skulle disse programmene installeres på Android-enheter som har Google Play Protect deaktivert, er de utviklet for å distribuere en operativsystemspesifikk vareskadevare sammen med et lokkekartprogram kalt SUNSPINNER.

Angripere infiserer både Windows- og Android-enheter

For Windows-brukere starter ZIP-arkivet utrullingen av en nylig identifisert PHP-basert malware-laster kalt Pronsis, som letter distribusjonen av SUNSPINNER og en hyllevare kjent som PureStealer. PureStealer er tilgjengelig for kjøp til priser som varierer fra $150 for et månedlig abonnement til $699 for en livstidslisens.

SUNSPINNER viser i mellomtiden et kart for brukere som viser påståtte plasseringer av ukrainske militærrekrutter, som kontrolleres via en Command-and-Control-server (C2) som drives av trusselaktøren.

For de som har tilgang til nettstedet på Android-enheter, distribuerer angrepskjeden en ondsinnet APK-fil (pakkenavn: 'com.http.masters'), som bygger inn en fjerntilgangstrojan kjent som CraxsRAT. Nettstedet gir også instruksjoner til ofre om hvordan de kan deaktivere Google Play Protect og gi den ondsinnede appen fulle tillatelser, slik at den kan fungere uten begrensninger.

CraxsRAT er en velkjent Android-skadevarefamilie, utstyrt med omfattende fjernkontrollfunksjoner og avanserte spyware-funksjoner, inkludert tastelogging, gestmanipulering og muligheten til å ta opp kameraer, skjermer og anrop.