Bedrohungsdatenbank Malware Pronsis Loader

Pronsis Loader

Cybersicherheitsforscher haben einen neuen Malware-Loader namens Pronsis Loader identifiziert. Dieser Loader wurde in jüngsten Kampagnen beobachtet, in denen Bedrohungen wie Lumma Stealer und Latrodectus verbreitet wurden. Die frühesten Versionen des Pronsis Loader stammen aus dem November 2023.

Diese neu entdeckte Malware weist Ähnlichkeiten mit dem D3F@ck Loader auf, insbesondere in der Verwendung von JPHP-kompilierten ausführbaren Dateien, wodurch die beiden Loader weitgehend austauschbar sind. Sie unterscheiden sich jedoch in ihren Installationsmethoden: Während der D3F@ck Loader auf dem Inno Setup Installer basiert, verwendet der Pronsis Loader das Nullsoft Scriptable Install System (NSIS).

Der Pronsis Loader ist Teil einer neuen Cyberkampagne gegen ukrainische Ziele

Im Rahmen einer mutmaßlichen hybriden russischen Spionage- und Einflussoperation wurde unter dem Telegram-Namen „Civil Defense“ eine Mischung aus Windows- und Android-Malware verbreitet, die sich gegen das ukrainische Militär richtete.

Forscher verfolgen die Aktivität unter dem Namen UNC5812. Die Bedrohungsgruppe, die einen Telegrammkanal namens „civildefense_com_ua“ betreibt, wurde am 10. September 2024 gegründet. Der Kanal hatte zum Zeitpunkt der Analyse 184 Abonnenten. Sie unterhält auch eine Website unter „civildefense.com.ua“, die am 24. April 2024 registriert wurde.

„Civil Defense“ behauptet, ein Anbieter kostenloser Softwareprogramme zu sein, die es potenziellen Wehrpflichtigen ermöglichen sollen, über Crowdsourcing ermittelte Standorte ukrainischer Militäranwerber anzuzeigen und zu teilen. Sollten diese Programme auf Android-Geräten installiert werden, auf denen Google Play Protect deaktiviert ist, sind sie so konzipiert, dass sie eine betriebssystemspezifische Standard-Malware zusammen mit einer Täuschungs-Kartenanwendung namens SUNSPINNER verbreiten.

Angreifer infizieren sowohl Windows- als auch Android-Geräte

Für Windows-Benutzer initiiert das ZIP-Archiv die Bereitstellung eines kürzlich identifizierten PHP-basierten Malware-Loaders namens Pronsis, der die Verteilung von SUNSPINNER und eines handelsüblichen Stealers namens PureStealer erleichtert. PureStealer ist zu Preisen zwischen 150 US-Dollar für ein monatliches Abonnement und 699 US-Dollar für eine lebenslange Lizenz erhältlich.

SUNSPINNER zeigt den Benutzern unterdessen eine Karte mit den angeblichen Standorten ukrainischer Militärrekruten an. Die Steuerung erfolgt über einen Command-and-Control-Server (C2), der vom Bedrohungsakteur betrieben wird.

Für diejenigen, die die Website über Android-Geräte aufrufen, stellt die Angriffskette eine bösartige APK-Datei (Paketname: „com.http.masters“) bereit, in die ein Remote-Access-Trojaner namens CraxsRAT eingebettet ist. Die Website bietet den Opfern außerdem Anweisungen, wie sie Google Play Protect deaktivieren und der bösartigen App alle Berechtigungen erteilen können, damit sie ohne Einschränkungen ausgeführt werden kann.

CraxsRAT ist eine bekannte Android-Malware-Familie, die mit umfassenden Fernsteuerungsfunktionen und erweiterten Spyware-Funktionen ausgestattet ist, darunter Keylogging, Gestenmanipulation und die Möglichkeit, Kameras, Bildschirme und Anrufe aufzuzeichnen.


Im Trend

Am häufigsten gesehen

Wird geladen...