Pronsis Loader

Studiuesit e sigurisë kibernetike kanë identifikuar një ngarkues të ri malware të quajtur Pronsis Loader. Ky ngarkues është vërejtur në fushatat e fundit duke ofruar kërcënime si Lumma Stealer dhe Latrodectus . Versionet më të hershme të Pronsis Loader datojnë në nëntor 2023.

Ky malware i sapo zbuluar tregon ngjashmëri me ngarkuesin D3F@ck, veçanërisht në përdorimin e ekzekutuesve të përpiluar nga JPHP, duke i bërë të dy ngarkuesit kryesisht të këmbyeshëm. Megjithatë, ato ndryshojnë në metodat e tyre të instalimit: ndërsa D3F@ck Loader mbështetet në Inno Setup Installer, Pronsis Loader përdor Sistemin e Instalimit të Scriptable Nullsoft (NSIS).

Pronsis Loader është pjesë e një fushate të re kibernetike kundër objektivave ukrainas

Një operacion i dyshuar spiunazhi dhe ndikimi hibrid rus është vërejtur duke shpërndarë një përzierje malware Windows dhe Android për të shënjestruar ushtrinë ukrainase nën Personat e Telegramit të Mbrojtjes Civile.

Studiuesit po ndjekin aktivitetin me emrin UNC5812. Grupi i kërcënimit, i cili operon një kanal Telegram të quajtur 'civildefense_com_ua', u krijua më 10 shtator 2024. Kanali kishte 184 abonentë në kohën e analizës. Ai gjithashtu mban një faqe interneti në 'civildefense.com.ua' që është regjistruar më 24 prill 2024.

'Mbrojtja Civile' pretendon të jetë një ofrues i programeve të softuerit të lirë të krijuar për t'u mundësuar rekrutëve të mundshëm që të shikojnë dhe ndajnë vendndodhjet me burime të shumta të rekrutuesve ushtarakë ukrainas. Nëse këto programe duhet të instalohen në pajisjet Android që kanë Google Play Protect të çaktivizuar, ato janë krijuar për të vendosur një malware të mallit specifik për sistemin operativ së bashku me një aplikacion për hartimin e mashtrimit të quajtur SUNSPINNER.

Sulmuesit infektojnë të dyja pajisjet Windows dhe Android

Për përdoruesit e Windows, arkivi ZIP fillon vendosjen e një ngarkuesi malware të identifikuar së fundmi me bazë PHP të quajtur Pronsis, i cili lehtëson shpërndarjen e SUNSPINNER dhe një vjedhësi jashtë raftit të njohur si PureStealer. PureStealer është i disponueshëm për blerje me çmime që variojnë nga 150 dollarë për një abonim mujor deri në 699 dollarë për një licencë të përjetshme.

SUNSPINNER, ndërkohë, shfaq një hartë për përdoruesit që tregon vendndodhjet e supozuara të rekrutëve ushtarakë ukrainas, e cila kontrollohet nëpërmjet një serveri Command-and-Control (C2) i operuar nga aktori i kërcënimit.

Për ata që hyjnë në sitin në pajisjet Android, zinxhiri i sulmit vendos një skedar APK keqdashës (emri i paketës: 'com.http.masters'), duke përfshirë një trojan me qasje në distancë të njohur si CraxsRAT. Faqja e internetit gjithashtu ofron udhëzime për viktimat se si të çaktivizojnë Google Play Protect dhe t'i japin aplikacionit keqdashës leje të plota, duke i mundësuar atij të funksionojë pa kufizime.

CraxsRAT është një familje e mirënjohur malware Android, e pajisur me aftësi të gjera telekomandë dhe funksione të avancuara spyware, duke përfshirë regjistrimin e tasteve, manipulimin e gjesteve dhe aftësinë për të regjistruar kamera, ekrane dhe thirrje.