プロンシスローダー

サイバーセキュリティ研究者は、Pronsis Loader という新しいマルウェア ローダーを特定しました。このローダーは、 Lumma StealerやLatrodectusなどの脅威を配信する最近のキャンペーンで確認されています。Pronsis Loader の最も古いバージョンは、2023 年 11 月に遡ります。

この新たに発見されたマルウェアは、特に JPHP でコンパイルされた実行ファイルを使用する点で D3F@ck Loader との類似点が見られ、2 つのローダーはほぼ互換性があります。ただし、インストーラーの方法が異なります。D3F@ck Loader は Inno Setup Installer に依存していますが、Pronsis Loader は Nullsoft Scriptable Install System (NSIS) を利用しています。

プロンシス・ローダーはウクライナを標的とした新たなサイバー攻撃の一部

ロシアによるスパイ活動と影響力行使のハイブリッド作戦とみられる活動が、Telegram の「Civil Defense」というペルソナを使ってウクライナ軍を標的とし、Windows と Android のマルウェアを組み合わせたものを配信していることが確認されました。

研究者らはUNC5812という名前で活動を追跡している。「civildefense_com_ua」というTelegramチャンネルを運営するこの脅威グループは、2024年9月10日に作成された。分析時点でこのチャンネルの登録者は184人だった。また、2024年4月24日に登録された「civildefense.com.ua」というウェブサイトも運営している。

「Civil Defense」は、ウクライナ軍の徴兵担当者のクラウドソーシングによる位置情報を潜在的な徴兵対象者が閲覧および共有できるように設計された無料ソフトウェア プログラムの提供者であると主張しています。これらのプログラムが、Google Play Protect が無効になっている Android デバイスにインストールされると、SUNSPINNER と呼ばれるおとりマッピング アプリケーションとともに、オペレーティング システム固有の商用マルウェアを展開するように設計されます。

攻撃者はWindowsとAndroidデバイスの両方を感染させる

Windows ユーザーの場合、ZIP アーカイブは、最近特定された PHP ベースのマルウェア ローダー Pronsis の展開を開始します。Pronsis は、SUNSPINNER と PureStealer と呼ばれる既製のスティーラーの配布を容易にします。PureStealer は、月額サブスクリプションの 150 ドルから、生涯ライセンスの 699 ドルまで、さまざまな価格で購入できます。

一方、SUNSPINNER は、ウクライナ軍の新兵の居場所とされる場所を示す地図をユーザーに表示しますが、この地図は脅威アクターが運営するコマンド アンド コントロール (C2) サーバーによって制御されています。

Android デバイスでサイトにアクセスしたユーザーに対して、攻撃チェーンは悪意のある APK ファイル (パッケージ名: 'com.http.masters') を展開し、CraxsRAT と呼ばれるリモート アクセス トロイの木馬を埋め込みます。Web サイトでは、被害者に対して、Google Play Protect を無効にして悪意のあるアプリに完全な権限を与え、制限なく動作できるようにする方法も説明しています。

CraxsRATは、キーロギング、ジェスチャ操作、カメラ、画面、通話の録画機能など、広範なリモート コントロール機能と高度なスパイウェア機能を備えた、よく知られた Android マルウェア ファミリです。