Chargeur Pronsis
Des chercheurs en cybersécurité ont identifié un nouveau chargeur de malware appelé Pronsis Loader. Ce chargeur a été observé dans des campagnes récentes diffusant des menaces telles que Lumma Stealer et Latrodectus . Les premières versions du Pronsis Loader remontent à novembre 2023.
Ce malware récemment découvert présente des similitudes avec le D3F@ck Loader, notamment dans son utilisation d'exécutables compilés par JPHP, ce qui rend les deux chargeurs largement interchangeables. Cependant, ils diffèrent dans leurs méthodes d'installation : alors que le D3F@ck Loader s'appuie sur l'installateur Inno Setup, le Pronsis Loader utilise le Nullsoft Scriptable Install System (NSIS).
Le chargeur Pronsis fait partie d'une nouvelle cybercampagne contre des cibles ukrainiennes
Une opération hybride d'espionnage et d'influence russe présumée a été observée, diffusant un mélange de logiciels malveillants Windows et Android pour cibler l'armée ukrainienne sous le pseudonyme de la Défense civile de Telegram.
Les chercheurs suivent l'activité sous le nom UNC5812. Le groupe de menace, qui exploite un canal Telegram nommé « civildefense_com_ua », a été créé le 10 septembre 2024. Le canal comptait 184 abonnés au moment de l'analyse. Il gère également un site Web à l'adresse « civildefense.com.ua » qui a été enregistré le 24 avril 2024.
Civil Defense prétend être un fournisseur de logiciels gratuits conçus pour permettre aux conscrits potentiels de visualiser et de partager les emplacements des recruteurs militaires ukrainiens. Si ces programmes sont installés sur des appareils Android sur lesquels Google Play Protect est désactivé, ils sont conçus pour déployer un malware spécifique au système d'exploitation ainsi qu'une application de cartographie leurre baptisée SUNSPINNER.
Les attaquants infectent les appareils Windows et Android
Pour les utilisateurs Windows, l'archive ZIP initie le déploiement d'un chargeur de malware basé sur PHP récemment identifié appelé Pronsis, qui facilite la distribution de SUNSPINNER et d'un voleur de malware standard connu sous le nom de PureStealer. PureStealer est disponible à l'achat à des prix allant de 150 $ pour un abonnement mensuel à 699 $ pour une licence à vie.
SUNSPINNER, quant à lui, affiche une carte pour les utilisateurs indiquant les emplacements présumés des recrues militaires ukrainiennes, qui est contrôlée via un serveur de commandement et de contrôle (C2) exploité par l'acteur de la menace.
Pour ceux qui accèdent au site sur des appareils Android, la chaîne d'attaque déploie un fichier APK malveillant (nom du package : « com.http.masters »), qui intègre un cheval de Troie d'accès à distance connu sous le nom de CraxsRAT. Le site Web fournit également des instructions aux victimes sur la façon de désactiver Google Play Protect et d'accorder à l'application malveillante des autorisations complètes, lui permettant de fonctionner sans restriction.
CraxsRAT est une famille de logiciels malveillants Android bien connue, équipée de capacités de contrôle à distance étendues et de fonctions d'espionnage avancées, notamment l'enregistrement de frappe, la manipulation des gestes et la possibilité d'enregistrer des caméras, des écrans et des appels.