Ładowarka Pronsis

Badacze cyberbezpieczeństwa zidentyfikowali nowy program ładujący złośliwe oprogramowanie o nazwie Pronsis Loader. Ten program ładujący zaobserwowano w ostatnich kampaniach dostarczających zagrożenia takie jak Lumma Stealer i Latrodectus . Najwcześniejsze wersje Pronsis Loader pochodzą z listopada 2023 r.

To nowo odkryte złośliwe oprogramowanie wykazuje podobieństwa do D3F@ck Loader, szczególnie w wykorzystaniu skompilowanych plików wykonywalnych JPHP, co sprawia, że oba programy ładujące są w dużej mierze zamienne. Różnią się jednak metodami instalacji: podczas gdy D3F@ck Loader opiera się na Inno Setup Installer, Pronsis Loader wykorzystuje Nullsoft Scriptable Install System (NSIS).

Ładowarka Pronsis jest częścią nowej kampanii cybernetycznej przeciwko celom ukraińskim

Zaobserwowano podejrzaną rosyjską operację hybrydowego szpiegostwa i wpływu, w ramach której rozpowszechniano mieszankę złośliwego oprogramowania na systemy Windows i Android, wymierzoną w ukraińskie wojsko pod pseudonimem Civil Defense w serwisie Telegram.

Badacze śledzą aktywność pod nazwą UNC5812. Grupa zagrożeń, która obsługuje kanał Telegram o nazwie „civildefense_com_ua”, została utworzona 10 września 2024 r. W momencie analizy kanał miał 184 subskrybentów. Prowadzi również stronę internetową pod adresem „civildefense.com.ua”, która została zarejestrowana 24 kwietnia 2024 r.

„Civil Defense” twierdzi, że jest dostawcą darmowych programów, które umożliwiają potencjalnym poborowym przeglądanie i udostępnianie lokalizacji ukraińskich rekruterów wojskowych, które są zbierane w ramach crowdsourcingu. Jeśli te programy zostaną zainstalowane na urządzeniach z systemem Android, na których wyłączono Google Play Protect, zostaną zaprojektowane tak, aby wdrożyć specyficzne dla systemu operacyjnego złośliwe oprogramowanie wraz z aplikacją do mapowania-wabika o nazwie SUNSPINNER.

Atakujący infekują zarówno urządzenia z systemem Windows, jak i Android

W przypadku użytkowników systemu Windows archiwum ZIP inicjuje wdrożenie niedawno zidentyfikowanego programu ładującego złośliwe oprogramowanie opartego na PHP o nazwie Pronsis, który ułatwia dystrybucję SUNSPINNER i gotowego programu do kradzieży znanego jako PureStealer. PureStealer jest dostępny do kupienia w cenach od 150 USD za miesięczną subskrypcję do 699 USD za dożywotnią licencję.

Tymczasem SUNSPINNER wyświetla użytkownikom mapę pokazującą domniemane lokalizacje ukraińskich rekrutów wojskowych. Mapa jest kontrolowana za pośrednictwem serwera Command-and-Control (C2) obsługiwanego przez podmiot stanowiący zagrożenie.

W przypadku osób uzyskujących dostęp do witryny na urządzeniach z systemem Android łańcuch ataku wdraża złośliwy plik APK (nazwa pakietu: „com.http.masters”), osadzając trojana zdalnego dostępu znanego jako CraxsRAT. Witryna udostępnia również ofiarom instrukcje dotyczące wyłączania Google Play Protect i udzielania złośliwym aplikacjom pełnych uprawnień, umożliwiając im działanie bez ograniczeń.

CraxsRAT to znana rodzina złośliwego oprogramowania na Androida, wyposażona w rozbudowane możliwości zdalnego sterowania i zaawansowane funkcje szpiegujące, w tym rejestrowanie naciśnięć klawiszy, manipulację gestami, a także możliwość nagrywania kamer, ekranów i rozmów.