Навантажувач Pronsis

Дослідники з кібербезпеки ідентифікували новий завантажувач шкідливих програм під назвою Pronsis Loader. Цей завантажувач був помічений під час останніх кампаній, які доставляють такі загрози, як Lumma Stealer і Latrodectus . Найперші версії Pronsis Loader датуються листопадом 2023 року.

Це нещодавно виявлене зловмисне програмне забезпечення демонструє схожість із завантажувачем D3F@ck, зокрема у використанні скомпільованих JPHP виконуваних файлів, що робить два завантажувачі значною мірою взаємозамінними. Однак вони відрізняються методами інсталяції: у той час як D3F@ck Loader покладається на Inno Setup Installer, Pronsis Loader використовує Nullsoft Scriptable Install System (NSIS).

Pronsis Loader є частиною нової кіберкампанії проти українських цілей

Було помічено ймовірну гібридну російську операцію зі шпигунства та впливу, яка доставляла зловмисне програмне забезпечення для Windows і Android для націлювання на українських військових під назвою Цивільної оборони Telegram.

Дослідники відстежують активність під назвою UNC5812. Групу загроз, яка керує Telegram-каналом під назвою civildefense_com_ua, було створено 10 вересня 2024 року. На момент аналізу канал мав 184 передплатники. Він також підтримує веб-сайт за адресою 'civildefense.com.ua', який був зареєстрований 24 квітня 2024 року.

«Цивільна оборона» стверджує, що є постачальником безкоштовних програм, розроблених для того, щоб потенційні призовники могли переглядати та ділитися краудсорсинговими місцезнаходженнями вербувальників українських військових. Якщо ці програми встановлено на пристроях Android, на яких вимкнено Google Play Protect, вони розроблені для розгортання зловмисного програмного забезпечення, специфічного для операційної системи, разом із програмою-приманкою для картографування під назвою SUNSPINNER.

Зловмисники заражають пристрої Windows і Android

Для користувачів Windows ZIP-архів ініціює розгортання нещодавно ідентифікованого завантажувача зловмисного програмного забезпечення на основі PHP під назвою Pronsis, який полегшує розповсюдження SUNSPINNER і готового викрадача, відомого як PureStealer. PureStealer доступний для придбання за ціною від 150 доларів США за місячну підписку до 699 доларів США за довічну ліцензію.

Тим часом SUNSPINNER показує користувачам карту, на якій показано ймовірне місцезнаходження українських новобранців, яка контролюється через сервер командування та управління (C2), яким керує зловмисник.

Для тих, хто отримує доступ до сайту на пристроях Android, ланцюг атак розгортає шкідливий файл APK (назва пакета: 'com.http.masters'), вбудовуючи трояна віддаленого доступу, відомого як CraxsRAT. Веб-сайт також містить інструкції для жертв про те, як вимкнути Google Play Protect і надати зловмисному додатку повні дозволи, дозволяючи йому працювати без обмежень.

CraxsRAT — добре відоме сімейство зловмисних програм для Android, оснащене розширеними можливостями дистанційного керування та розширеними функціями шпигунського програмного забезпечення, включаючи клавіатурні журнали, маніпуляції жестами та можливість записувати камери, екрани та дзвінки.