普朗西斯裝載機

網路安全研究人員發現了一種新的惡意軟體載入程序，名為 Pronsis Loader。在最近的活動中觀察到該加載程序提供了Lumma Stealer和Latrodectus等威脅。 Pronsis Loader 的最早版本可以追溯到 2023 年 11 月。

這種新發現的惡意軟體與 D3F@ck 載入器有相似之處，特別是在使用 JPHP 編譯的可執行檔方面，使得這兩個載入器在很大程度上可以互換。但是，它們的安裝程式方法有所不同：D3F@ck 載入程式依賴 Inno Setup 安裝程序，而 Pronsis 載入程式則利用 Nullsoft 腳本化安裝系統 (NSIS)。

Pronsis Loader 是針對烏克蘭目標的新網路活動的一部分

據觀察，疑似俄羅斯混合間諜和影響行動向 Telegram 民防部門下的烏克蘭軍方發送了 Windows 和 Android 惡意軟體的混合體。

研究人員正在追蹤名為 UNC5812 的活動。該威脅組織經營一個名為「civildefense_com_ua」的 Telegram 頻道，創建於 2024 年 9 月 10 日。它還維護著一個於 2024 年 4 月 24 日註冊的網站「civildefense.com.ua」。

「Civil Defense」聲稱是免費軟體程式的提供商，旨在使潛在的應徵入伍者能夠查看和共享烏克蘭軍事招募人員的眾包位置。如果這些程式安裝在禁用了 Google Play Protect 的 Android 裝置上，它們將被設計為部署特定於作業系統的商品惡意軟體以及名為 SUNSPINNER 的誘餌映射應用程式。

攻擊者同時感染 Windows 和 Android 設備

對於 Windows 用戶，ZIP 檔案會啟動最近發現的基於 PHP 的惡意軟體載入程式 Pronsis 的部署，該程式有助於 SUNSPINNER 和現成的竊取程式 PureStealer 的分發。 PureStealer 的購買價格從每月 150 美元到終身許可證 699 美元不等。

同時，SUNSPINNER 向用戶顯示了一張地圖，顯示了烏克蘭新兵的據稱位置，該地圖由威脅行為者運營的指揮與控制 (C2) 伺服器控制。

對於那些在 Android 裝置上造訪網站的人，攻擊鏈會部署一個惡意 APK 檔案（套件名稱：「com.http.masters」），嵌入一個名為 CraxsRAT 的遠端存取木馬。該網站還向受害者提供如何停用 Google Play Protect 並授予惡意應用程式完全權限的說明，使其能夠不受限制地運行。

CraxsRAT是一個著名的 Android 惡意軟體家族，配備了廣泛的遠端控制功能和高級間諜軟體功能，包括鍵盤記錄、手勢操作以及錄製相機、螢幕和通話的功能。