Pronsis Loader

Os pesquisadores de segurança cibernética identificaram um novo carregador de malware chamado Pronsis Loader. Este carregador foi observado em campanhas recentes entregando ameaças como o Lumma Stealer e o Latrodectus. As primeiras versões do Pronsis Loader datam de novembro de 2023.

Este malware recém-descoberto mostra similaridades com o D3F@ck Loader, particularmente no uso de executáveis compilados por JPHP, tornando os dois carregadores amplamente intercambiáveis. No entanto, eles diferem em seus métodos de instalação: enquanto o D3F@ck Loader depende do Inno Setup Installer, o Pronsis Loader utiliza o Nullsoft Scriptable Install System (NSIS).

O Pronsis Loader Faz Parte de uma Nova Campanha Cibernética contra Alvos Ucranianos

Uma suposta operação híbrida russa de espionagem e influência foi observada distribuindo uma mistura de malware para Windows e Android para atingir os militares ucranianos sob a identidade de Defesa Civil do Telegram.

Os pesquisadores estão rastreando a atividade sob o nome UNC5812. O grupo de ameaças, que opera um canal do Telegram chamado 'civildefense_com_ua', foi criado em 10 de setembro de 2024. O canal tinha 184 assinantes no momento da análise. Ele também mantém um site em 'civildefense.com.ua' que foi registrado em 24 de abril de 2024.

A 'Defesa Civil' afirma ser uma provedora de programas de software livre projetados para permitir que recrutas em potencial visualizem e compartilhem localizações de recrutadores militares ucranianos por crowdsourcing. Caso esses programas sejam instalados em dispositivos Android que tenham o Google Play Protect desabilitado, eles são projetados para implantar um malware de commodity específico do sistema operacional junto com um aplicativo de mapeamento de isca chamado SUNSPINNER.

Os Atacantes Infectam Dispositivos Windows e Android

Para usuários do Windows, o arquivo ZIP inicia a implantação de um carregador de malware baseado em PHP recentemente identificado, chamado Pronsis, que facilita a distribuição do SUNSPINNER e de um ladrão de prateleira conhecido como PureStealer. O PureStealer está disponível para compra a preços que variam de US$ 150 para uma assinatura mensal a US$ 699 para uma licença vitalícia.

Enquanto isso, o SUNSPINNER exibe um mapa para usuários mostrando supostas localizações de recrutas militares ucranianos, que é controlado por meio de um servidor de Comando e Controle (C2) operado pelo agente da ameaça.

Para aqueles que acessam o site em dispositivos Android, a cadeia de ataque implanta um arquivo APK malicioso (nome do pacote: 'com.http.masters'), incorporando um trojan de acesso remoto conhecido como CraxsRAT. O site também fornece instruções às vítimas sobre como desabilitar o Google Play Protect e conceder permissões totais ao aplicativo malicioso, permitindo que ele opere sem restrições.

O CraxsRAT é uma família de malware Android bem conhecida, equipada com amplos recursos de controle remoto e funções avançadas de spyware, incluindo registro de teclas, manipulação de gestos e a capacidade de gravar câmeras, telas e chamadas.