Nakladalnik Pronsis

Raziskovalci kibernetske varnosti so identificirali nov nalagalnik zlonamerne programske opreme, imenovan Pronsis Loader. Ta nakladalnik je bil opažen v nedavnih kampanjah, ki prinašajo grožnje, kot sta Lumma Stealer in Latrodectus . Najzgodnejše različice Pronsis Loaderja segajo v november 2023.

Ta na novo odkrita zlonamerna programska oprema kaže podobnosti z nalagalnikom D3F@ck, zlasti pri uporabi izvršljivih datotek, prevedenih v JPHP, zaradi česar sta nalagalnika v veliki meri zamenljiva. Vendar se razlikujeta po svojih metodah namestitve: medtem ko se D3F@ck Loader opira na Inno Setup Installer, Pronsis Loader uporablja Nullsoft Scriptable Install System (NSIS).

Pronsis Loader je del nove kibernetske kampanje proti ukrajinskim tarčam

Opazili so domnevno rusko hibridno operacijo vohunjenja in vplivanja, ki zagotavlja mešanico zlonamerne programske opreme Windows in Android za tarčo ukrajinske vojske v okviru civilne zaščite Telegram persona.

Raziskovalci spremljajo aktivnost pod imenom UNC5812. Groženjska skupina, ki upravlja kanal Telegram z imenom 'civildefense_com_ua', je bila ustanovljena 10. septembra 2024. V času analize je imel kanal 184 naročnikov. Vzdržuje tudi spletno mesto na naslovu 'civildefense.com.ua', ki je bilo registrirano 24. aprila 2024.

„Civilna zaščita“ trdi, da je ponudnik brezplačnih programov programske opreme, zasnovanih tako, da potencialnim nabornikom omogočajo ogled in skupno rabo množičnih lokacij ukrajinskih vojaških nabornikov. Če bi te programe namestili v naprave Android, ki imajo onemogočeno Google Play Protect, so zasnovani tako, da uvedejo zlonamerno programsko opremo, specifično za operacijski sistem, skupaj z aplikacijo za preslikavo z vabo, imenovano SUNSPINNER.

Napadalci okužijo tako naprave Windows kot Android

Za uporabnike operacijskega sistema Windows arhiv ZIP sproži uvedbo nedavno identificiranega nalagalnika zlonamerne programske opreme, ki temelji na PHP, imenovanega Pronsis, ki olajša distribucijo SUNSPINNER in standardnega kradljivca, znanega kot PureStealer. PureStealer je na voljo za nakup po cenah od 150 USD za mesečno naročnino do 699 USD za doživljenjsko licenco.

SUNSPINNER medtem prikaže zemljevid za uporabnike, ki prikazuje domnevne lokacije ukrajinskih vojaških nabornikov, ki je nadzorovan prek strežnika za poveljevanje in nadzor (C2), ki ga upravlja akter grožnje.

Za tiste, ki dostopajo do spletnega mesta z napravami Android, veriga napadov uvede zlonamerno datoteko APK (ime paketa: 'com.http.masters'), v katero je vdelan trojanec za oddaljeni dostop, znan kot CraxsRAT. Spletno mesto nudi tudi navodila žrtvam, kako onemogočiti Google Play Protect in zlonamerni aplikaciji dodeliti polna dovoljenja, da lahko deluje brez omejitev.

CraxsRAT je dobro znana družina zlonamerne programske opreme za Android, opremljena z obsežnimi zmožnostmi daljinskega upravljanja in naprednimi funkcijami vohunske programske opreme, vključno s beleženjem tipk, manipulacijo s kretnjami in možnostjo snemanja kamer, zaslonov in klicev.