ਪ੍ਰੋਨਸਿਸ ਲੋਡਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪ੍ਰੋਨਸਿਸ ਲੋਡਰ ਨਾਮਕ ਇੱਕ ਨਵੇਂ ਮਾਲਵੇਅਰ ਲੋਡਰ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ। ਇਹ ਲੋਡਰ ਲੂਮਾ ਸਟੀਲਰ ਅਤੇ ਲੈਟਰੋਡੈਕਟਸ ਵਰਗੀਆਂ ਧਮਕੀਆਂ ਪ੍ਰਦਾਨ ਕਰਨ ਵਾਲੀਆਂ ਤਾਜ਼ਾ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਪ੍ਰੋਨਸਿਸ ਲੋਡਰ ਦੇ ਸਭ ਤੋਂ ਪੁਰਾਣੇ ਸੰਸਕਰਣ ਨਵੰਬਰ 2023 ਦੇ ਹਨ।
ਇਹ ਨਵਾਂ ਖੋਜਿਆ ਮਾਲਵੇਅਰ D3F@ck ਲੋਡਰ ਨਾਲ ਸਮਾਨਤਾਵਾਂ ਦਿਖਾਉਂਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ JPHP-ਕੰਪਾਈਲਡ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੀ ਵਰਤੋਂ ਵਿੱਚ, ਦੋ ਲੋਡਰਾਂ ਨੂੰ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਬਦਲਣਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਉਹ ਉਹਨਾਂ ਦੇ ਇੰਸਟਾਲਰ ਤਰੀਕਿਆਂ ਵਿੱਚ ਭਿੰਨ ਹਨ: ਜਦੋਂ ਕਿ D3F@ck ਲੋਡਰ ਇਨੋ ਸੈਟਅਪ ਇੰਸਟੌਲਰ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ, ਪ੍ਰੋਨਸਿਸ ਲੋਡਰ ਨਲਸੋਫਟ ਸਕ੍ਰਿਪਟੇਬਲ ਇੰਸਟੌਲ ਸਿਸਟਮ (NSIS) ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
ਪ੍ਰੋਨਸਿਸ ਲੋਡਰ ਯੂਕਰੇਨੀ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਨਵੀਂ ਸਾਈਬਰ ਮੁਹਿੰਮ ਦਾ ਹਿੱਸਾ ਹੈ
ਇੱਕ ਸ਼ੱਕੀ ਰੂਸੀ ਹਾਈਬ੍ਰਿਡ ਜਾਸੂਸੀ ਅਤੇ ਪ੍ਰਭਾਵ ਦੀ ਕਾਰਵਾਈ ਨੂੰ ਟੈਲੀਗ੍ਰਾਮ ਵਿਅਕਤੀ ਸਿਵਲ ਡਿਫੈਂਸ ਦੇ ਅਧੀਨ ਯੂਕਰੇਨੀ ਫੌਜ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਵਿੰਡੋਜ਼ ਅਤੇ ਐਂਡਰੌਇਡ ਮਾਲਵੇਅਰ ਦਾ ਮਿਸ਼ਰਣ ਪ੍ਰਦਾਨ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ।
ਖੋਜਕਰਤਾ UNC5812 ਨਾਮ ਹੇਠ ਗਤੀਵਿਧੀ ਨੂੰ ਟਰੈਕ ਕਰ ਰਹੇ ਹਨ। ਧਮਕੀ ਸਮੂਹ, ਜੋ ਕਿ 'civildefense_com_ua' ਨਾਮ ਦਾ ਇੱਕ ਟੈਲੀਗ੍ਰਾਮ ਚੈਨਲ ਚਲਾਉਂਦਾ ਹੈ, ਨੂੰ 10 ਸਤੰਬਰ, 2024 ਨੂੰ ਬਣਾਇਆ ਗਿਆ ਸੀ। ਵਿਸ਼ਲੇਸ਼ਣ ਦੇ ਸਮੇਂ ਚੈਨਲ ਦੇ 184 ਗਾਹਕ ਸਨ। ਇਹ 'civildefense.com.ua' 'ਤੇ ਇੱਕ ਵੈਬਸਾਈਟ ਵੀ ਰੱਖਦੀ ਹੈ ਜੋ 24 ਅਪ੍ਰੈਲ, 2024 ਨੂੰ ਰਜਿਸਟਰ ਕੀਤੀ ਗਈ ਸੀ।
'ਸਿਵਲ ਡਿਫੈਂਸ' ਮੁਫਤ ਸੌਫਟਵੇਅਰ ਪ੍ਰੋਗਰਾਮਾਂ ਦਾ ਪ੍ਰਦਾਤਾ ਹੋਣ ਦਾ ਦਾਅਵਾ ਕਰਦਾ ਹੈ ਜੋ ਸੰਭਾਵੀ ਭਰਤੀਆਂ ਨੂੰ ਯੂਕਰੇਨੀ ਫੌਜੀ ਭਰਤੀ ਕਰਨ ਵਾਲਿਆਂ ਦੇ ਭੀੜ-ਭੜੱਕੇ ਵਾਲੇ ਸਥਾਨਾਂ ਨੂੰ ਦੇਖਣ ਅਤੇ ਸਾਂਝਾ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਕੀ ਇਹਨਾਂ ਪ੍ਰੋਗਰਾਮਾਂ ਨੂੰ ਉਹਨਾਂ Android ਡਿਵਾਈਸਾਂ 'ਤੇ ਸਥਾਪਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਜਿਨ੍ਹਾਂ ਵਿੱਚ Google Play Protect ਅਸਮਰਥਿਤ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ-ਵਿਸ਼ੇਸ਼ ਵਸਤੂ ਮਾਲਵੇਅਰ ਦੇ ਨਾਲ ਇੱਕ ਡੀਕੋਏ ਮੈਪਿੰਗ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਸਨਸਪਿਨਰ ਡੱਬ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
ਹਮਲਾਵਰ ਵਿੰਡੋਜ਼ ਅਤੇ ਐਂਡਰੌਇਡ ਡਿਵਾਈਸਾਂ ਦੋਵਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੇ ਹਨ
ਵਿੰਡੋਜ਼ ਉਪਭੋਗਤਾਵਾਂ ਲਈ, ਜ਼ਿਪ ਆਰਕਾਈਵ ਇੱਕ ਹਾਲ ਹੀ ਵਿੱਚ ਪਛਾਣੇ ਗਏ PHP-ਅਧਾਰਿਤ ਮਾਲਵੇਅਰ ਲੋਡਰ ਦੀ ਤੈਨਾਤੀ ਦੀ ਸ਼ੁਰੂਆਤ ਕਰਦਾ ਹੈ ਜਿਸਨੂੰ ਪ੍ਰੋਨਸਿਸ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਸਨਸਪਿਨਰ ਦੀ ਵੰਡ ਅਤੇ ਇੱਕ ਆਫ-ਦੀ-ਸ਼ੈਲਫ ਸਟੀਲਰ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ ਜਿਸਨੂੰ PureStealer ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। PureStealer ਮਹੀਨਾਵਾਰ ਗਾਹਕੀ ਲਈ $150 ਤੋਂ ਲੈ ਕੇ ਜੀਵਨ ਭਰ ਦੇ ਲਾਇਸੈਂਸ ਲਈ $699 ਤੱਕ ਦੀਆਂ ਕੀਮਤਾਂ 'ਤੇ ਖਰੀਦ ਲਈ ਉਪਲਬਧ ਹੈ।
ਸਨਸਪਿਨਰ, ਇਸ ਦੌਰਾਨ, ਯੂਕਰੇਨੀ ਫੌਜੀ ਭਰਤੀਆਂ ਦੇ ਕਥਿਤ ਸਥਾਨਾਂ ਨੂੰ ਦਰਸਾਉਣ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਇੱਕ ਨਕਸ਼ਾ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਨੂੰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਦੁਆਰਾ ਸੰਚਾਲਿਤ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਐਂਡਰੌਇਡ ਡਿਵਾਈਸਾਂ 'ਤੇ ਸਾਈਟ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਵਾਲਿਆਂ ਲਈ, ਅਟੈਕ ਚੇਨ ਇੱਕ ਖਤਰਨਾਕ ਏਪੀਕੇ ਫਾਈਲ (ਪੈਕੇਜ ਦਾ ਨਾਮ: 'com.http.masters') ਤੈਨਾਤ ਕਰਦੀ ਹੈ, ਇੱਕ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਨੂੰ ਏਮਬੈਡ ਕਰਦੀ ਹੈ ਜਿਸਨੂੰ CraxsRAT ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਵੈੱਬਸਾਈਟ ਪੀੜਤਾਂ ਨੂੰ Google Play Protect ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਣ ਅਤੇ ਖਤਰਨਾਕ ਐਪ ਨੂੰ ਪੂਰੀਆਂ ਇਜਾਜ਼ਤਾਂ ਦੇਣ, ਇਸ ਨੂੰ ਬਿਨਾਂ ਕਿਸੇ ਪਾਬੰਦੀ ਦੇ ਕੰਮ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਣ ਬਾਰੇ ਨਿਰਦੇਸ਼ ਵੀ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ।
CraxsRAT ਇੱਕ ਜਾਣਿਆ-ਪਛਾਣਿਆ Android ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਹੈ, ਜੋ ਕਿ ਕੀਲੌਗਿੰਗ, ਸੰਕੇਤ ਹੇਰਾਫੇਰੀ, ਅਤੇ ਕੈਮਰੇ, ਸਕ੍ਰੀਨਾਂ ਅਤੇ ਕਾਲਾਂ ਨੂੰ ਰਿਕਾਰਡ ਕਰਨ ਦੀ ਯੋਗਤਾ ਸਮੇਤ ਵਿਆਪਕ ਰਿਮੋਟ ਕੰਟਰੋਲ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਉੱਨਤ ਸਪਾਈਵੇਅਰ ਫੰਕਸ਼ਨਾਂ ਨਾਲ ਲੈਸ ਹੈ।
