Máy nạp Pronsis

Các nhà nghiên cứu an ninh mạng đã xác định được một trình tải phần mềm độc hại mới có tên là Pronsis Loader. Trình tải này đã được quan sát thấy trong các chiến dịch gần đây phát tán các mối đe dọa như Lumma Stealer và Latrodectus . Các phiên bản đầu tiên của Pronsis Loader có từ tháng 11 năm 2023.

Phần mềm độc hại mới được phát hiện này có những điểm tương đồng với D3F@ck Loader, đặc biệt là ở việc sử dụng các tệp thực thi được biên dịch bởi JPHP, khiến hai trình tải này có thể hoán đổi cho nhau. Tuy nhiên, chúng khác nhau ở phương pháp cài đặt: trong khi D3F@ck Loader dựa vào Inno Setup Installer, thì Pronsis Loader sử dụng Nullsoft Scriptable Install System (NSIS).

Pronsis Loader là một phần của chiến dịch mạng mới chống lại các mục tiêu của Ukraine

Một hoạt động gián điệp và gây ảnh hưởng hỗn hợp bị nghi ngờ của Nga đã bị phát hiện phát tán hỗn hợp phần mềm độc hại trên Windows và Android để nhắm vào quân đội Ukraine dưới tên Telegram là Civil Defense.

Các nhà nghiên cứu đang theo dõi hoạt động dưới tên UNC5812. Nhóm đe dọa này điều hành một kênh Telegram có tên là 'civildefense_com_ua', được tạo vào ngày 10 tháng 9 năm 2024. Kênh này có 184 người đăng ký tại thời điểm phân tích. Nhóm này cũng duy trì một trang web tại 'civildefense.com.ua' được đăng ký vào ngày 24 tháng 4 năm 2024.

'Civil Defense' tự nhận là nhà cung cấp các chương trình phần mềm miễn phí được thiết kế để cho phép những người có khả năng nhập ngũ xem và chia sẻ vị trí do cộng đồng cung cấp của những người tuyển dụng quân đội Ukraine. Nếu các chương trình này được cài đặt trên các thiết bị Android đã tắt Google Play Protect, chúng được thiết kế để triển khai phần mềm độc hại hàng hóa dành riêng cho hệ điều hành cùng với ứng dụng lập bản đồ mồi nhử có tên là SUNSPINNER.

Kẻ tấn công lây nhiễm cả thiết bị Windows và Android

Đối với người dùng Windows, kho lưu trữ ZIP khởi tạo việc triển khai trình tải phần mềm độc hại dựa trên PHP mới được xác định có tên là Pronsis, giúp phân phối SUNSPINNER và một trình đánh cắp có sẵn có tên là PureStealer. PureStealer có sẵn để mua với mức giá từ 150 đô la cho đăng ký hàng tháng đến 699 đô la cho giấy phép trọn đời.

Trong khi đó, SUNSPINNER hiển thị cho người dùng một bản đồ cho thấy vị trí được cho là của tân binh quân đội Ukraine, được điều khiển thông qua máy chủ Chỉ huy và Kiểm soát (C2) do tác nhân đe dọa vận hành.

Đối với những người truy cập trang web trên thiết bị Android, chuỗi tấn công triển khai tệp APK độc hại (tên gói: 'com.http.masters'), nhúng trojan truy cập từ xa được gọi là CraxsRAT. Trang web cũng cung cấp hướng dẫn cho nạn nhân về cách vô hiệu hóa Google Play Protect và cấp cho ứng dụng độc hại quyền đầy đủ, cho phép ứng dụng hoạt động mà không bị hạn chế.

CraxsRAT là một họ phần mềm độc hại Android nổi tiếng, được trang bị khả năng điều khiển từ xa mở rộng và các chức năng phần mềm gián điệp tiên tiến, bao gồm ghi lại phím bấm, thao tác cử chỉ và khả năng ghi lại camera, màn hình và cuộc gọi.