Pronsis Loader

Cercetătorii în domeniul securității cibernetice au identificat un nou încărcător de malware numit Pronsis Loader. Acest încărcător a fost observat în campaniile recente, oferind amenințări precum Lumma Stealer și Latrodectus . Cele mai vechi versiuni ale Pronsis Loader datează din noiembrie 2023.

Acest malware recent descoperit prezintă asemănări cu D3F@ck Loader, în special în utilizarea executabilelor compilate de JPHP, făcând cele două încărcătoare în mare măsură interschimbabile. Cu toate acestea, diferă în metodele lor de instalare: în timp ce D3F@ck Loader se bazează pe Inno Setup Installer, Pronsis Loader utilizează Nullsoft Scriptable Install System (NSIS).

Încărcătorul Pronsis face parte dintr-o nouă campanie cibernetică împotriva țintelor ucrainene

A fost observată o presupusă operațiune hibridă rusă de spionaj și influență care oferă o combinație de programe malware Windows și Android pentru a viza armata ucraineană sub personajul Telegram Apărare civilă.

Cercetătorii urmăresc activitatea sub numele UNC5812. Grupul de amenințări, care operează un canal Telegram denumit „civildefense_com_ua”, a fost creat pe 10 septembrie 2024. Canalul avea 184 de abonați la momentul analizei. De asemenea, menține un site web la „civildefense.com.ua” care a fost înregistrat la 24 aprilie 2024.

„Civil Defense” pretinde că este un furnizor de programe software gratuite concepute pentru a permite potențialilor recruți să vizualizeze și să partajeze locații crowdsourcing ale recrutorilor militari ucraineni. În cazul în care aceste programe sunt instalate pe dispozitive Android care au Google Play Protect dezactivat, ele sunt proiectate pentru a implementa un program malware specific sistemului de operare, împreună cu o aplicație de cartografiere a momei numită SUNSPINNER.

Atacatorii infectează atât dispozitivele Windows, cât și dispozitivele Android

Pentru utilizatorii de Windows, arhiva ZIP inițiază implementarea unui încărcător de malware bazat pe PHP recent identificat, numit Pronsis, care facilitează distribuirea SUNSPINNER și a unui furt de la raft cunoscut sub numele de PureStealer. PureStealer este disponibil pentru cumpărare la prețuri cuprinse între 150 USD pentru un abonament lunar și 699 USD pentru o licență pe viață.

SUNSPINNER, între timp, afișează o hartă pentru utilizatori care arată presupusele locații ale recruților militari ucraineni, care este controlată prin intermediul unui server de comandă și control (C2) operat de actorul amenințării.

Pentru cei care accesează site-ul pe dispozitive Android, lanțul de atac implementează un fișier APK rău intenționat (numele pachetului: „com.http.masters”), încorporând un troian de acces la distanță cunoscut sub numele de CraxsRAT. Site-ul oferă, de asemenea, instrucțiuni victimelor despre cum să dezactiveze Google Play Protect și să acorde aplicației rău intenționate permisiuni complete, permițându-i să funcționeze fără restricții.

CraxsRAT este o familie de programe malware Android binecunoscută, echipată cu capabilități extinse de control de la distanță și funcții avansate de spyware, inclusiv înregistrarea tastelor, manipularea gesturilor și capacitatea de a înregistra camere, ecrane și apeluri.