Загрузчик Pronsis

Исследователи кибербезопасности обнаружили новый вредоносный загрузчик под названием Pronsis Loader. Этот загрузчик был замечен в недавних кампаниях, доставляющих такие угрозы, как Lumma Stealer и Latrodectus . Самые ранние версии Pronsis Loader датируются ноябрем 2023 года.

Эта недавно обнаруженная вредоносная программа имеет сходство с D3F@ck Loader, особенно в использовании исполняемых файлов, скомпилированных JPHP, что делает эти два загрузчика в значительной степени взаимозаменяемыми. Однако они различаются по методам установки: в то время как D3F@ck Loader полагается на Inno Setup Installer, Pronsis Loader использует Nullsoft Scriptable Install System (NSIS).

Загрузчик Pronsis является частью новой киберкампании против украинских целей

Была замечена предполагаемая российская гибридная операция шпионажа и влияния, в ходе которой под псевдонимом «Гражданская оборона» в Telegram была распространена смесь вредоносного ПО для Windows и Android, нацеленная на украинских военных.

Исследователи отслеживают активность под именем UNC5812. Группа угроз, которая управляет каналом Telegram под названием «civildefense_com_ua», была создана 10 сентября 2024 года. На момент анализа у канала было 184 подписчика. Она также поддерживает веб-сайт «civildefense.com.ua», зарегистрированный 24 апреля 2024 года.

«Гражданская оборона» утверждает, что является поставщиком бесплатных программ, разработанных для того, чтобы потенциальные призывники могли просматривать и делиться краудсорсинговыми местоположениями украинских военных вербовщиков. Если эти программы установлены на устройствах Android с отключенной защитой Google Play, они разработаны для развертывания вредоносного ПО, специфичного для операционной системы, вместе с приложением-приманкой для картирования, получившим название SUNSPINNER.

Злоумышленники заражают устройства на базе Windows и Android

Для пользователей Windows ZIP-архив инициирует развертывание недавно выявленного вредоносного загрузчика на основе PHP под названием Pronsis, который облегчает распространение SUNSPINNER и готового к использованию угонщика, известного как PureStealer. PureStealer доступен для покупки по ценам от 150 долларов за ежемесячную подписку до 699 долларов за пожизненную лицензию.

Тем временем SUNSPINNER демонстрирует пользователям карту, на которой указаны предполагаемые места нахождения украинских новобранцев. Карта контролируется через сервер командования и управления (C2), которым управляет злоумышленник.

Для тех, кто заходит на сайт с устройств Android, цепочка атак развертывает вредоносный файл APK (имя пакета: 'com.http.masters'), внедряющий троян удаленного доступа, известный как CraxsRAT. Сайт также предоставляет жертвам инструкции о том, как отключить Google Play Protect и предоставить вредоносному приложению полные разрешения, что позволит ему работать без ограничений.

CraxsRAT — это известное семейство вредоносных программ для Android, оснащенное обширными возможностями удаленного управления и расширенными шпионскими функциями, включая регистрацию нажатий клавиш, манипуляцию жестами, а также возможность записи камер, экранов и звонков.