Пронсис Лоадер

Истраживачи сајбер безбедности идентификовали су нови учитавач малвера под називом Пронсис Лоадер. Овај пуњач је примећен у недавним кампањама које испоручују претње као што су Лумма Стеалер и Латродецтус . Најраније верзије Пронсис Лоадер-а датирају из новембра 2023.

Овај новооткривени злонамерни софтвер показује сличности са Д3Ф@цк Лоадер-ом, посебно у коришћењу извршних датотека компајлираних ЈПХП, чинећи ова два учитавача углавном заменљивим. Међутим, разликују се по методама инсталатера: док се Д3Ф@цк Лоадер ослања на Инно Сетуп Инсталлер, Пронсис Лоадер користи Нуллсофт Сцриптабле Инсталл Систем (НСИС).

Пронсис Лоадер је део нове сајбер кампање против украјинских мета

Осумњичена је руска хибридна шпијунажа и операција утицаја која испоручује мешавину Виндовс и Андроид малвера за циљање украјинске војске под Телеграм персона Цивил Дефенце.

Истраживачи прате активност под именом УНЦ5812. Група претњи, која управља Телеграм каналом под називом 'цивилдефенсе_цом_уа', створена је 10. септембра 2024. Канал је имао 184 претплатника у време анализе. Такође одржава веб локацију на „цивилдефенсе.цом.уа“ која је регистрована 24. априла 2024.

„Цивилна одбрана“ тврди да је добављач бесплатних софтверских програма који су дизајнирани да омогуће потенцијалним регрутима да виде и деле локације украјинских војних регрутоваца из гомиле. Ако се ови програми инсталирају на Андроид уређаје на којима је Гоогле Плаи Протецт онемогућен, они су дизајнирани да примене малвер специфичан за оперативни систем заједно са апликацијом за мапирање мамаца под називом СУНСПИННЕР.

Нападачи инфицирају и Виндовс и Андроид уређаје

За кориснике Виндовс-а, ЗИП архива покреће примену недавно идентификованог учитавача малвера заснованог на ПХП-у под називом Пронсис, који олакшава дистрибуцију СУНСПИННЕР-а и готовог алата за крађу познатог као ПуреСтеалер. ПуреСтеалер је доступан за куповину по ценама у распону од 150 УСД за месечну претплату до 699 УСД за доживотну лиценцу.

СУНСПИНЕР, у међувремену, приказује мапу за кориснике која приказује наводне локације украјинских војних регрута, која се контролише преко сервера за команду и контролу (Ц2) којим управља актер претње.

За оне који приступају сајту на Андроид уређајима, ланац напада примењује злонамерну АПК датотеку (назив пакета: 'цом.хттп.мастерс'), уграђујући тројанац за даљински приступ познат као ЦраксРАТ. Веб локација такође пружа упутства жртвама о томе како да онемогуће Гоогле Плаи заштиту и да злонамерној апликацији дају пуне дозволе, омогућавајући јој да ради без ограничења.

ЦраксРАТ је позната породица малвера за Андроид, опремљена опсежним могућностима даљинског управљања и напредним функцијама шпијунског софтвера, укључујући кеилоггинг, манипулацију покретима и могућност снимања камера, екрана и позива.