Nakladač Pronsis

Výskumníci v oblasti kybernetickej bezpečnosti identifikovali nový zavádzač škodlivého softvéru s názvom Pronsis Loader. Tento nakladač bol pozorovaný v nedávnych kampaniach prinášajúcich hrozby ako Lumma Stealer a Latrodectus . Najstaršie verzie Pronsis Loader pochádzajú z novembra 2023.

Tento novoobjavený malvér vykazuje podobnosti s D3F@ck Loader, najmä v používaní spustiteľných súborov kompilovaných JPHP, vďaka čomu sú tieto dva zavádzače do značnej miery zameniteľné. Líšia sa však metódami inštalácie: kým D3F@ck Loader sa spolieha na Inno Setup Installer, Pronsis Loader využíva Nullsoft Scriptable Install System (NSIS).

Pronsis Loader je súčasťou novej kyberkampane proti ukrajinským cieľom

Bolo pozorované podozrenie na ruskú hybridnú špionážnu a ovplyvňovaciu operáciu, ktorá prináša kombináciu škodlivého softvéru pre Windows a Android, ktorý sa zameriava na ukrajinskú armádu v rámci telegramu civilnej obrany.

Výskumníci sledujú aktivitu pod názvom UNC5812. Skupina hrozieb, ktorá prevádzkuje telegramový kanál s názvom „civildefense_com_ua“, bola vytvorená 10. septembra 2024. Kanál mal v čase analýzy 184 odberateľov. Spravuje tiež webovú stránku na adrese „civildefense.com.ua“, ktorá bola zaregistrovaná 24. apríla 2024.

'Civil Defense' tvrdí, že je poskytovateľom bezplatných softvérových programov navrhnutých tak, aby umožnili potenciálnym brancom prezerať a zdieľať crowdsourcované miesta ukrajinských vojenských verbovačov. Ak sú tieto programy nainštalované na zariadeniach so systémom Android, ktoré majú zakázanú službu Google Play Protect, sú navrhnuté tak, aby nasadili komoditný malvér špecifický pre operačný systém spolu s aplikáciou na mapovanie návnad s názvom SUNSPINNER.

Útočníci infikujú zariadenia so systémom Windows aj Android

Pre používateľov Windows archív ZIP iniciuje nasadenie nedávno identifikovaného zavádzača škodlivého softvéru založeného na PHP s názvom Pronsis, ktorý uľahčuje distribúciu SUNSPINNER a bežného zlodeja známeho ako PureStealer. PureStealer je možné zakúpiť za ceny od 150 USD za mesačné predplatné až po 699 USD za doživotnú licenciu.

SUNSPINNER medzitým zobrazuje používateľom mapu zobrazujúcu údajné miesta ukrajinských vojenských regrútov, ktorá je ovládaná prostredníctvom servera Command-and-Control (C2) prevádzkovaného aktérom hrozby.

Pre tých, ktorí pristupujú na stránku na zariadeniach so systémom Android, reťazec útokov nasadí škodlivý súbor APK (názov balíka: 'com.http.masters'), v ktorom je vložený trójsky kôň pre vzdialený prístup známy ako CraxsRAT. Webová stránka tiež poskytuje obetiam pokyny, ako deaktivovať Google Play Protect a udeliť škodlivej aplikácii úplné povolenia, čo jej umožní fungovať bez obmedzení.

CraxsRAT je známa rodina malvéru pre Android, ktorá je vybavená rozsiahlymi možnosťami diaľkového ovládania a pokročilými funkciami spywaru, vrátane keyloggingu, manipulácie s gestami a schopnosti nahrávať kamery, obrazovky a hovory.