Cargador Pronsis

Los investigadores de ciberseguridad han identificado un nuevo cargador de malware llamado Pronsis Loader. Este cargador se ha observado en campañas recientes que han distribuido amenazas como Lumma Stealer y Latrodectus . Las primeras versiones de Pronsis Loader datan de noviembre de 2023.

Este malware recién descubierto muestra similitudes con el cargador D3F@ck, en particular en el uso de ejecutables compilados en JPHP, lo que hace que ambos cargadores sean prácticamente intercambiables. Sin embargo, difieren en sus métodos de instalación: mientras que el cargador D3F@ck se basa en el instalador Inno Setup, el cargador Pronsis utiliza el sistema de instalación programable Nullsoft (NSIS).

El cargador Pronsis forma parte de una nueva campaña cibernética contra objetivos ucranianos

Se ha observado una presunta operación híbrida de espionaje e influencia rusa que distribuye una combinación de malware para Windows y Android para atacar al ejército ucraniano bajo la identidad de Telegram Civil Defense.

Los investigadores están rastreando la actividad bajo el nombre UNC5812. El grupo de amenazas, que opera un canal de Telegram llamado 'civildefense_com_ua', fue creado el 10 de septiembre de 2024. El canal tenía 184 suscriptores en el momento del análisis. También mantiene un sitio web en 'civildefense.com.ua' que se registró el 24 de abril de 2024.

'Civil Defense' afirma ser un proveedor de programas de software gratuitos diseñados para permitir a los posibles reclutas ver y compartir ubicaciones de reclutadores militares ucranianos obtenidas mediante crowdsourcing. Si estos programas se instalan en dispositivos Android que tienen Google Play Protect deshabilitado, están diseñados para implementar un malware específico del sistema operativo junto con una aplicación de mapeo señuelo denominada SUNSPINNER.

Los atacantes infectan tanto dispositivos Windows como Android

Para los usuarios de Windows, el archivo ZIP inicia la implementación de un cargador de malware basado en PHP identificado recientemente y llamado Pronsis, que facilita la distribución de SUNSPINNER y un ladrón de malware comercial conocido como PureStealer. PureStealer está disponible para su compra a precios que van desde $150 por una suscripción mensual hasta $699 por una licencia de por vida.

Mientras tanto, SUNSPINNER muestra un mapa para los usuarios que muestra las supuestas ubicaciones de los reclutas militares ucranianos, que se controla a través de un servidor de Comando y Control (C2) operado por el actor de amenazas.

Para quienes acceden al sitio desde dispositivos Android, la cadena de ataque implementa un archivo APK malicioso (nombre del paquete: 'com.http.masters'), que incorpora un troyano de acceso remoto conocido como CraxsRAT. El sitio web también proporciona instrucciones a las víctimas sobre cómo deshabilitar Google Play Protect y otorgarle a la aplicación maliciosa permisos completos, lo que le permite operar sin restricciones.

CraxsRAT es una conocida familia de malware para Android, equipada con amplias capacidades de control remoto y funciones avanzadas de spyware, que incluyen registro de teclas, manipulación de gestos y la capacidad de grabar cámaras, pantallas y llamadas.