โปรนซิสโหลดเดอร์

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุตัวโหลดมัลแวร์ตัวใหม่ชื่อ Pronsis Loader ตัวโหลดนี้ถูกพบเห็นในแคมเปญล่าสุดที่ส่งภัยคุกคาม เช่น Lumma Stealer และ Latrodectus โดยเวอร์ชันแรกสุดของ Pronsis Loader นั้นมีมาตั้งแต่เดือนพฤศจิกายน 2023

มัลแวร์ที่เพิ่งค้นพบนี้มีความคล้ายคลึงกับ D3F@ck Loader โดยเฉพาะการใช้ไฟล์ปฏิบัติการที่คอมไพล์ด้วย JPHP ทำให้ตัวโหลดทั้งสองสามารถใช้แทนกันได้เป็นส่วนใหญ่ อย่างไรก็ตาม ทั้งสองแตกต่างกันในวิธีการติดตั้ง โดยในขณะที่ D3F@ck Loader อาศัยตัวติดตั้ง Inno Setup แต่ Pronsis Loader จะใช้ Nullsoft Scriptable Install System (NSIS)

Pronsis Loader เป็นส่วนหนึ่งของแคมเปญไซเบอร์ใหม่ต่อต้านเป้าหมายในยูเครน

พบว่ามีปฏิบัติการจารกรรมและอิทธิพลที่ต้องสงสัยของรัสเซียซึ่งส่งมัลแวร์ผสมระหว่าง Windows และ Android เพื่อโจมตีกองทหารยูเครนภายใต้ชื่อ Telegram ซึ่งก็คือ Civil Defense

นักวิจัยกำลังติดตามกิจกรรมดังกล่าวภายใต้ชื่อ UNC5812 กลุ่มภัยคุกคามซึ่งดำเนินการช่อง Telegram ที่มีชื่อว่า 'civildefense_com_ua' ถูกสร้างขึ้นเมื่อวันที่ 10 กันยายน 2024 ช่องดังกล่าวมีผู้ติดตาม 184 คนในช่วงเวลาที่ทำการวิเคราะห์ และยังมีเว็บไซต์ที่ 'civildefense.com.ua' ซึ่งลงทะเบียนเมื่อวันที่ 24 เมษายน 2024 อีกด้วย

'Civil Defense' อ้างว่าเป็นผู้ให้บริการโปรแกรมซอฟต์แวร์ฟรีที่ออกแบบมาเพื่อให้ผู้ที่อาจเกณฑ์ทหารสามารถดูและแบ่งปันตำแหน่งของผู้คัดเลือกทหารยูเครนที่รับมาจากแหล่งข้อมูลสาธารณะ หากติดตั้งโปรแกรมเหล่านี้ในอุปกรณ์ Android ที่ปิดใช้งาน Google Play Protect โปรแกรมเหล่านี้ได้รับการออกแบบมาให้ใช้งานมัลแวร์เฉพาะระบบปฏิบัติการพร้อมกับแอปพลิเคชันแผนที่หลอกลวงที่เรียกว่า SUNSPINNER

ผู้โจมตีติดเชื้อทั้งอุปกรณ์ Windows และ Android

สำหรับผู้ใช้ Windows ไฟล์ ZIP จะเริ่มต้นการใช้งานตัวโหลดมัลแวร์ที่ใช้ PHP ที่เพิ่งค้นพบใหม่ที่เรียกว่า Pronsis ซึ่งช่วยให้แจกจ่าย SUNSPINNER และตัวขโมยข้อมูลสำเร็จรูปที่รู้จักกันในชื่อ PureStealer ได้ง่ายขึ้น PureStealer มีจำหน่ายในราคาตั้งแต่ 150 ดอลลาร์สำหรับการสมัครสมาชิกรายเดือนไปจนถึง 699 ดอลลาร์สำหรับใบอนุญาตตลอดชีพ

ขณะเดียวกัน SUNSPINNER จะแสดงผลแผนที่ให้ผู้ใช้เห็น ซึ่งแสดงตำแหน่งที่ถูกกล่าวหาว่ามีการรับสมัครทหารยูเครน โดยควบคุมผ่านเซิร์ฟเวอร์ Command-and-Control (C2) ที่ดำเนินการโดยผู้ก่อให้เกิดภัยคุกคาม

สำหรับผู้ที่เข้าถึงเว็บไซต์นี้บนอุปกรณ์ Android กลุ่มผู้โจมตีจะปล่อยไฟล์ APK ที่เป็นอันตราย (ชื่อแพ็คเกจ: 'com.http.masters') ซึ่งฝังโทรจันการเข้าถึงระยะไกลที่รู้จักกันในชื่อ CraxsRAT เว็บไซต์ยังให้คำแนะนำแก่เหยื่อเกี่ยวกับวิธีการปิดใช้งาน Google Play Protect และให้สิทธิ์เต็มรูปแบบแก่แอปที่เป็นอันตราย ซึ่งจะทำให้แอปสามารถทำงานได้โดยไม่มีข้อจำกัด

CraxsRAT คือมัลแวร์ในตระกูล Android ที่รู้จักกันดีซึ่งมีความสามารถในการควบคุมระยะไกลอย่างครอบคลุมและฟังก์ชันสปายแวร์ขั้นสูง รวมถึงการบันทึกการพิมพ์ การจัดการท่าทาง และความสามารถในการบันทึกกล้อง หน้าจอ และการโทร