Pronsis Yükleyici

Siber güvenlik araştırmacıları, Pronsis Loader adlı yeni bir kötü amaçlı yazılım yükleyicisi tespit ettiler. Bu yükleyici, Lumma Stealer ve Latrodectus gibi tehditleri ileten son kampanyalarda gözlemlendi. Pronsis Loader'ın en eski sürümleri Kasım 2023'e kadar uzanıyor.

Yeni keşfedilen bu kötü amaçlı yazılım, özellikle JPHP derlenmiş yürütülebilir dosyaları kullanımında D3F@ck Loader ile benzerlikler gösteriyor ve bu da iki yükleyiciyi büyük ölçüde birbirinin yerine kullanılabilir hale getiriyor. Ancak, yükleyici yöntemlerinde farklılık gösteriyorlar: D3F@ck Loader, Inno Setup Installer'a güvenirken, Pronsis Loader, Nullsoft Scriptable Install System'ı (NSIS) kullanıyor.

Pronsis Yükleyici, Ukrayna Hedeflerine Yönelik Yeni Bir Siber Kampanyanın Parçası

Telegram Sivil Savunma kimliği altında Ukrayna ordusunu hedef almak için Windows ve Android kötü amaçlı yazılımlarının bir karışımını ilettiği düşünülen bir Rus hibrit casusluk ve etki operasyonunun gözlemlendiği bildirildi.

Araştırmacılar, UNC5812 adı altında aktiviteyi izliyor. 'civildefense_com_ua' adlı bir Telegram kanalı işleten tehdit grubu, 10 Eylül 2024'te oluşturuldu. Analiz sırasında kanalın 184 abonesi vardı. Ayrıca 24 Nisan 2024'te kaydedilen 'civildefense.com.ua' adresinde bir web sitesi de bulunduruyor.

'Sivil Savunma', potansiyel askerlerin Ukraynalı askeri alımcıların kalabalık kaynaklı konumlarını görüntülemesini ve paylaşmasını sağlamak için tasarlanmış ücretsiz yazılım programları sağlayıcısı olduğunu iddia ediyor. Bu programlar, Google Play Protect'in devre dışı bırakıldığı Android cihazlara yüklenirse, SUNSPINNER adlı bir aldatmaca haritalama uygulamasıyla birlikte işletim sistemine özgü bir ticari kötü amaçlı yazılım dağıtmak üzere tasarlanmıştır.

Saldırganlar Hem Windows Hem de Android Cihazlara Bulaşıyor

Windows kullanıcıları için ZIP arşivi, SUNSPINNER ve PureStealer olarak bilinen hazır bir hırsızın dağıtımını kolaylaştıran Pronsis adlı yakın zamanda tanımlanmış bir PHP tabanlı kötü amaçlı yazılım yükleyicisinin dağıtımını başlatır. PureStealer, aylık abonelik için 150 dolardan ömür boyu lisans için 699 dolara kadar değişen fiyatlarla satın alınabilir.

SUNSPINNER ise tehdit aktörü tarafından işletilen bir Komuta ve Kontrol (C2) sunucusu üzerinden kontrol edilen ve Ukraynalı askeri adayların iddia edilen yerlerini gösteren bir haritayı kullanıcılara sunuyor.

Siteye Android cihazlardan erişenler için saldırı zinciri, CraxsRAT olarak bilinen uzaktan erişim trojanını yerleştiren kötü amaçlı bir APK dosyası (paket adı: 'com.http.masters') dağıtır. Web sitesi ayrıca kurbanlara Google Play Protect'i nasıl devre dışı bırakacakları ve kötü amaçlı uygulamaya tam izinler vererek kısıtlama olmadan çalışmasını sağlayacak talimatlar sağlar.

CraxsRAT, tuş kaydı, hareket manipülasyonu ve kamera, ekran ve aramaları kaydetme yeteneği gibi kapsamlı uzaktan kontrol yetenekleri ve gelişmiş casus yazılım işlevleriyle donatılmış, iyi bilinen bir Android kötü amaçlı yazılım ailesidir.