Pronsis 装载机

网络安全研究人员发现了一种名为 Pronsis Loader 的新恶意软件加载程序。在最近的活动中，研究人员观察到该加载程序传播了Lumma Stealer和Latrodectus等威胁。Pronsis Loader 的最早版本可以追溯到 2023 年 11 月。

这种新发现的恶意软件与 D3F@ck Loader 有相似之处，特别是在使用 JPHP 编译的可执行文件方面，这使得这两个加载器在很大程度上可以互换。然而，它们的安装程序方法不同：D3F@ck Loader 依赖于 Inno Setup Installer，而 Pronsis Loader 则利用 Nullsoft Scriptable Install System (NSIS)。

Pronsis 加载器是针对乌克兰目标的新网络攻击活动的一部分

据观察，俄罗斯疑似发起了混合间谍和影响行动，以 Telegram 民防身份向乌克兰军方投放了混合了 Windows 和 Android 的恶意软件。

研究人员正在以 UNC5812 的名义跟踪该活动。该威胁组织运营着一个名为“civildefense_com_ua”的 Telegram 频道，该频道于 2024 年 9 月 10 日创建。分析时，该频道有 184 名订阅者。它还维护着一个网站“civildefense.com.ua”，该网站于 2024 年 4 月 24 日注册。

“Civil Defense”声称是一家免费软件程序提供商，旨在让潜在应征者查看和分享乌克兰军事招募人员的众包位置。如果这些程序安装在已禁用 Google Play Protect 的 Android 设备上，它们会部署特定于操作系统的商品恶意软件以及名为 SUNSPINNER 的诱饵地图应用程序。

攻击者感染 Windows 和 Android 设备

对于 Windows 用户，ZIP 存档会启动最近发现的基于 PHP 的恶意软件加载程序 Pronsis 的部署，这有助于传播 SUNSPINNER 和现成的窃取程序 PureStealer。PureStealer 的售价从每月订阅 150 美元到终身许可 699 美元不等。

与此同时，SUNSPINNER 向用户展示了一张地图，上面标出了乌克兰军队新兵的所在地，该地图由威胁行为者操作的命令和控制 (C2) 服务器进行控制。

对于使用 Android 设备访问该网站的用户，攻击链会部署一个恶意 APK 文件（包名：“com.http.masters”），其中嵌入了名为 CraxsRAT 的远程访问木马。该网站还向受害者提供了如何禁用 Google Play Protect 并授予恶意应用程序完全权限的说明，使其能够不受限制地运行。

CraxsRAT是一个著名的 Android 恶意软件家族，配备广泛的远程控制功能和高级间谍软件功能，包括键盘记录、手势操作以及记录摄像头、屏幕和通话的能力。