Pronsis Loader

Cybersäkerhetsforskare har identifierat en ny skadlig programvara som heter Pronsis Loader. Denna laddare har observerats i de senaste kampanjerna som levererar hot som Lumma Stealer och Latrodectus . De tidigaste versionerna av Pronsis Loader går tillbaka till november 2023.

Denna nyupptäckta skadliga programvara uppvisar likheter med D3F@ck Loader, särskilt i dess användning av JPHP-kompilerade körbara filer, vilket gör de två laddarna i stort sett utbytbara. Men de skiljer sig åt i sina installationsmetoder: medan D3F@ck Loader är beroende av Inno Setup Installer, använder Pronsis Loader Nullsoft Scriptable Install System (NSIS).

Pronsis Loader är en del av en ny cyberkampanj mot ukrainska mål

En misstänkt rysk hybridspionage- och påverkansoperation har observerats leverera en blandning av Windows- och Android-skadlig programvara för att rikta in sig på den ukrainska militären under Telegram-personan Civil Defense.

Forskare spårar aktiviteten under namnet UNC5812. Hotgruppen, som driver en Telegram-kanal med namnet 'civildefense_com_ua', skapades den 10 september 2024. Kanalen hade 184 prenumeranter vid analystillfället. Den har också en webbplats på "civildefense.com.ua" som registrerades den 24 april 2024.

"Civil Defense" påstår sig vara en leverantör av gratis program som är utformade för att möjliggöra för potentiella värnpliktiga att se och dela med sig av ukrainska militärrekryterares lokaliseringar. Om dessa program skulle installeras på Android-enheter som har Google Play Protect inaktiverat, är de konstruerade för att distribuera en operativsystemspecifik varuprogramvara tillsammans med ett lockbetekartprogram kallat SUNSPINNER.

Angripare infekterar både Windows- och Android-enheter

För Windows-användare, initierar ZIP-arkivet distributionen av en nyligen identifierad PHP-baserad skadlig programvara som laddar, kallad Pronsis, som underlättar distributionen av SUNSPINNER och en hyllanvändare känd som PureStealer. PureStealer finns att köpa till priser som sträcker sig från $150 för ett månadsabonnemang till $699 för en livstidslicens.

SUNSPINNER visar samtidigt en karta för användare som visar påstådda platser för ukrainska militärrekryter, som kontrolleras via en Command-and-Control-server (C2) som drivs av hotaktören.

För de som kommer åt webbplatsen på Android-enheter distribuerar attackkedjan en skadlig APK-fil (paketnamn: 'com.http.masters'), som bäddar in en fjärråtkomsttrojan som kallas CraxsRAT. Webbplatsen ger också instruktioner till offer om hur man inaktiverar Google Play Protect och ger den skadliga appen fullständiga behörigheter, vilket gör att den kan fungera utan begränsningar.

CraxsRAT är en välkänd Android-skadlig programvara, utrustad med omfattande fjärrkontrollfunktioner och avancerade spionprogramfunktioner, inklusive tangentloggning, gestmanipulering och möjligheten att spela in kameror, skärmar och samtal.