Pronsis-lader

Cybersecurity-onderzoekers hebben een nieuwe malware-loader geïdentificeerd, genaamd de Pronsis Loader. Deze loader is waargenomen in recente campagnes die bedreigingen zoals de Lumma Stealer en Latrodectus afleverden. De vroegste versies van de Pronsis Loader dateren uit november 2023.

Deze nieuw ontdekte malware vertoont overeenkomsten met de D3F@ck Loader, met name in het gebruik van JPHP-gecompileerde uitvoerbare bestanden, waardoor de twee loaders grotendeels uitwisselbaar zijn. Ze verschillen echter in hun installatiemethoden: terwijl de D3F@ck Loader afhankelijk is van de Inno Setup Installer, maakt de Pronsis Loader gebruik van het Nullsoft Scriptable Install System (NSIS).

De Pronsis Loader is onderdeel van een nieuwe cybercampagne tegen Oekraïense doelen

Er is een vermoedelijke Russische hybride spionage- en beïnvloedingsoperatie waargenomen waarbij een mix van Windows- en Android-malware werd verspreid om het Oekraïense leger te targeten onder de naam Civil Defense in Telegram.

Onderzoekers volgen de activiteit onder de naam UNC5812. De dreigingsgroep, die een Telegram-kanaal met de naam 'civildefense_com_ua' beheert, werd op 10 september 2024 opgericht. Het kanaal had 184 abonnees op het moment van analyse. Het onderhoudt ook een website op 'civildefense.com.ua' die op 24 april 2024 werd geregistreerd.

'Civil Defense' beweert een leverancier te zijn van gratis softwareprogramma's die zijn ontworpen om potentiële dienstplichtigen in staat te stellen om crowdsourced locaties van Oekraïense militaire rekruteerders te bekijken en te delen. Mochten deze programma's worden geïnstalleerd op Android-apparaten waarop Google Play Protect is uitgeschakeld, dan zijn ze ontworpen om een besturingssysteemspecifieke commodity-malware te implementeren, samen met een decoy mapping-applicatie genaamd SUNSPINNER.

Aanvallers infecteren zowel Windows- als Android-apparaten

Voor Windows-gebruikers start het ZIP-archief de implementatie van een onlangs geïdentificeerde PHP-gebaseerde malware-loader genaamd Pronsis, die de distributie van SUNSPINNER en een kant-en-klare stealer genaamd PureStealer faciliteert. PureStealer is beschikbaar voor aankoop tegen prijzen variërend van $ 150 voor een maandelijks abonnement tot $ 699 voor een levenslange licentie.

SUNSPINNER toont gebruikers een kaart met de vermeende locaties van Oekraïense militaire rekruten. Deze kaart wordt aangestuurd door een Command-and-Control (C2)-server die wordt beheerd door de dreigingsactor.

Voor degenen die de site op Android-apparaten bezoeken, implementeert de aanvalsketen een kwaadaardig APK-bestand (pakketnaam: 'com.http.masters'), dat een externe toegangs-trojan genaamd CraxsRAT bevat. De website biedt slachtoffers ook instructies over hoe ze Google Play Protect kunnen uitschakelen en de kwaadaardige app volledige machtigingen kunnen geven, zodat deze zonder beperkingen kan werken.

CraxsRAT is een bekende Android-malwarefamilie met uitgebreide mogelijkheden voor bediening op afstand en geavanceerde spywarefuncties, waaronder keylogging, gebarenmanipulatie en de mogelijkheid om camera's, schermen en gesprekken op te nemen.