प्रोन्सिस लोडर

साइबरसुरक्षा अनुसन्धानकर्ताहरूले प्रोन्सिस लोडर नामक नयाँ मालवेयर लोडर पहिचान गरेका छन्। यो लोडर लुम्मा स्टिलर र ल्याट्रोडेक्टस जस्ता धम्कीहरू प्रदान गर्ने हालैका अभियानहरूमा अवलोकन गरिएको छ। प्रोन्सिस लोडरको प्रारम्भिक संस्करणहरू नोभेम्बर २०२३ मा फर्किन्छन्।

यो भर्खरै पत्ता लागेको मालवेयरले D3F@ck लोडरसँग समानताहरू देखाउँदछ, विशेष गरी JPHP-कम्पाइल गरिएको कार्यान्वयनयोग्यहरूको प्रयोगमा, दुई लोडरहरूलाई ठूलो मात्रामा आदानप्रदानयोग्य बनाउँदछ। यद्यपि, तिनीहरू तिनीहरूको स्थापनाकर्ता विधिहरूमा भिन्न हुन्छन्: जबकि D3F@ck लोडर Inno सेटअप स्थापनाकर्तामा निर्भर हुन्छ, Pronsis लोडरले Nullsoft Scriptable Install System (NSIS) को प्रयोग गर्दछ।

प्रोन्सिस लोडर युक्रेनी लक्ष्यहरू विरुद्ध नयाँ साइबर अभियानको अंश हो

टेलिग्राम व्यक्तित्व सिभिल डिफेन्स अन्तर्गत युक्रेनी सेनालाई लक्षित गर्न विन्डोज र एन्ड्रोइड मालवेयरको मिश्रण प्रदान गर्ने संदिग्ध रूसी हाइब्रिड जासूसी र प्रभाव अपरेशन अवलोकन गरिएको छ।

अन्वेषकहरूले UNC5812 नाम अन्तर्गत गतिविधि ट्र्याक गर्दै छन्। 'civildefense_com_ua' नामक टेलिग्राम च्यानल सञ्चालन गर्ने खतरा समूह, सेप्टेम्बर १०, २०२४ मा सिर्जना गरिएको थियो। विश्लेषणको समयमा च्यानलका १८४ सदस्यहरू थिए। यसले 'civildefense.com.ua' मा एक वेबसाइट पनि राख्छ जुन अप्रिल 24, 2024 मा दर्ता गरिएको थियो।

'सिभिल डिफेन्स' ले युक्रेनी सैन्य भर्तीकर्ताहरूको क्राउडसोर्स गरिएका स्थानहरू हेर्न र साझेदारी गर्न सम्भावित भर्तीहरूलाई सक्षम पार्न डिजाइन गरिएको नि:शुल्क सफ्टवेयर कार्यक्रमहरूको प्रदायक भएको दाबी गर्दछ। यदि यी प्रोग्रामहरू Google Play Protect असक्षम पारिएका एन्ड्रोइड उपकरणहरूमा स्थापना गरिएमा, तिनीहरू SUNSPINNER डब गरिएको डिकोय म्यापिङ अनुप्रयोगको साथमा अपरेटिङ सिस्टम-विशिष्ट कमोडिटी मालवेयर प्रयोग गर्न इन्जिनियर गरिएको छ।

आक्रमणकारीहरूले विन्डोज र एन्ड्रोइड उपकरणहरू दुवैलाई संक्रमित गर्छन्

विन्डोज प्रयोगकर्ताहरूका लागि, ZIP अभिलेखले हालै पहिचान गरिएको PHP-आधारित मालवेयर लोडरलाई Pronsis भनिन्छ, जसले SUNSPINNER को वितरण र PureStealer भनेर चिनिने अफ-द-शेल्फ स्टिलरको सुविधा दिन्छ। PureStealer मासिक सदस्यताको लागि $ 150 देखि आजीवन लाइसेन्सको लागि $ 699 सम्मको मूल्यहरूमा खरिदको लागि उपलब्ध छ।

यस बीचमा, SUNSPINNER ले युक्रेनी सैन्य भर्तीहरूको कथित स्थानहरू देखाउने प्रयोगकर्ताहरूको लागि नक्सा प्रदर्शन गर्दछ, जुन खतरा अभिनेता द्वारा संचालित कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भर मार्फत नियन्त्रण गरिन्छ।

एन्ड्रोइड उपकरणहरूमा साइट पहुँच गर्नेहरूका लागि, आक्रमण श्रृंखलाले दुर्भावनापूर्ण APK फाइल (प्याकेज नाम: 'com.http.masters') प्रयोग गर्दछ, जसलाई CraxsRAT भनेर चिनिने रिमोट एक्सेस ट्रोजन इम्बेड गर्दछ। वेबसाइटले गुगल प्ले प्रोटेक्टलाई कसरी असक्षम पार्ने र दुर्भावनापूर्ण एपलाई पूर्ण अनुमतिहरू प्रदान गर्ने भन्ने बारे पीडितहरूलाई निर्देशनहरू पनि प्रदान गर्दछ, यसलाई प्रतिबन्ध बिना सञ्चालन गर्न सक्षम पार्दै।

CraxsRAT एक प्रख्यात एन्ड्रोइड मालवेयर परिवार हो, व्यापक रिमोट कन्ट्रोल क्षमताहरू र किलगिङ, इशारा हेरफेर, र क्यामेरा, स्क्रिन र कलहरू रेकर्ड गर्ने क्षमता सहित उन्नत स्पाइवेयर प्रकार्यहरूसँग सुसज्जित छ।