Pronsis Loader

Natukoy ng mga mananaliksik sa cybersecurity ang isang bagong loader ng malware na pinangalanang Pronsis Loader. Ang loader na ito ay naobserbahan sa mga kamakailang kampanyang naghahatid ng mga banta tulad ng Lumma Stealer at Latrodectus . Ang mga pinakaunang bersyon ng Pronsis Loader ay nagmula noong Nobyembre 2023.

Ang bagong natuklasang malware na ito ay nagpapakita ng mga pagkakatulad sa D3F@ck Loader, partikular sa paggamit nito ng JPHP-compiled executables, na ginagawang halos mapagpalit ang dalawang loader. Gayunpaman, naiiba ang mga ito sa kanilang mga paraan ng pag-install: habang ang D3F@ck Loader ay umaasa sa Inno Setup Installer, ang Pronsis Loader ay gumagamit ng Nullsoft Scriptable Install System (NSIS).

Ang Pronsis Loader ay Bahagi ng Bagong Cybercampaign laban sa mga Ukrainian Target

Ang isang pinaghihinalaang Russian hybrid na espionage at operasyon ng impluwensya ay naobserbahang naghahatid ng isang halo ng Windows at Android malware upang i-target ang militar ng Ukrainian sa ilalim ng Telegram persona Civil Defense.

Sinusubaybayan ng mga mananaliksik ang aktibidad sa ilalim ng pangalang UNC5812. Ang grupo ng pagbabanta, na nagpapatakbo ng Telegram channel na pinangalanang 'civildefense_com_ua,' ay nilikha noong Setyembre 10, 2024. Ang channel ay may 184 na subscriber sa oras ng pagsusuri. Pinapanatili din nito ang isang website sa 'civildefense.com.ua' na nakarehistro noong Abril 24, 2024.

Sinasabi ng 'Civil Defense' na isang provider ng mga libreng software program na idinisenyo upang paganahin ang mga potensyal na conscripts na tingnan at ibahagi ang mga crowdsourced na lokasyon ng mga recruiter ng militar ng Ukraine. Kung ma-install ang mga program na ito sa mga Android device na may naka-disable na Google Play Protect, ang mga ito ay ini-engineered para mag-deploy ng malware ng kalakal na partikular sa operating system kasama ng isang application ng decoy mapping na tinatawag na SUNSPINNER.

Nakakahawa ang mga Attacker sa Parehong Windows at Android Device

Para sa mga user ng Windows, sinisimulan ng ZIP archive ang pag-deploy ng kamakailang natukoy na PHP-based na malware loader na tinatawag na Pronsis, na nagpapadali sa pamamahagi ng SUNSPINNER at isang off-the-shelf stealer na kilala bilang PureStealer. Ang PureStealer ay magagamit para sa pagbili sa mga presyo mula sa $150 para sa isang buwanang subscription hanggang $699 para sa isang panghabambuhay na lisensya.

Samantala, ang SUNSPINNER ay nagpapakita ng mapa para sa mga user na nagpapakita ng mga di-umano'y lokasyon ng Ukrainian military recruits, na kinokontrol sa pamamagitan ng Command-and-Control (C2) server na pinapatakbo ng threat actor.

Para sa mga nag-a-access sa site sa mga Android device, ang attack chain ay nag-deploy ng nakakahamak na APK file (pangalan ng package: 'com.http.masters'), na naglalagay ng remote access trojan na kilala bilang CraxsRAT. Nagbibigay din ang website ng mga tagubilin sa mga biktima kung paano i-disable ang Google Play Protect at bigyan ang nakakahamak na app ng buong mga pahintulot, na nagbibigay-daan sa paggana nito nang walang paghihigpit.

Ang CraxsRAT ay isang kilalang pamilya ng malware ng Android, na nilagyan ng malawak na remote control na mga kakayahan at advanced na spyware function, kabilang ang keylogging, pagmamanipula ng galaw, at ang kakayahang mag-record ng mga camera, screen at tawag.