Команда аналитиков угроз Trustwave обнаружила новое вредоносное ПО под названием Pronsis Loader, поставляющее основную полезную нагрузку Lumma Stealer и Latrodectus.
Pronsis Loader
Pronsis Loader похож на D3F@ck Loader тем, что оба они используют исполняемые файлы, скомпилированные на языке JPHP. JPHP, язык программирования, производный от PHP, является менее распространенным языком программирования среди злоумышленников. JPHP использовался IceRat в 2020 году, а затем D3F@ck в 2024 году. Pronis Loader отличается от D3F@ck способом развертывания: он использует Nullsoft Scriptable Install System (NSIS), популярный инструмент для создания инсталляторов Windows. Одним из ключевых приемов обхода является исключение пользовательского профиля из целей, что делает обнаружение более сложным для некоторых решений безопасности. Pronsis Loader не использует сертификаты, включая SSL-сертификаты, и сбрасывает файлы в каталог %Temp%, маскируя вредоносные файлы среди доброкачественных. Анализ, проведенный Trustwave, показал, что Pronsis Loader постоянно использует одни и те же соглашения об именовании исходного пути, E:\Lab\ORDERS\<Date>, и следует определенному соглашению об именовании ZIP-файлов. Эти файлы обычно объединяют три слова в имени файла, причем третье слово обычно является PRO.
Исследователи заметили, что Pronsis Loader в первую очередь доставляет полезную нагрузку Lumma Stealer и, в некоторых случаях, вредоносное ПО Latrodectus. Lumma Stealer загружает свою полезную нагрузку с указанного URL-адреса и декодирует зашифрованный DLL-файл. Инфраструктура, связанная с Lumma Stealer, включает в себя несколько IP-адресов и открытых каталогов, используемых для хранения вредоносных файлов, а командно-контрольный (C2) сервер идентифицируется как «locatedblsoqp[.]shop/api». Latrodectus распространяется через фишинговые электронные письма и сохраняется через запланированную задачу под названием «Updater» и мьютекс под названием «runnung». Она работает, выполняя полезную нагрузку из загруженного архивного файла, который затем сбрасывает и выполняет дополнительные компоненты вредоносной программы Latrodectus. C2-серверы вредоносной программы включают «restoreviner[.]com/test/» и «peronikilinfer[.]com/test/».
Indicators of Compromise
IPv4
- 159.253.120.202
- 176.123.1.34
- 176.123.2.192
- 185.113.8.141
- 193.233.202.183
- 193.233.203.109
- 193.233.203.31
- 193.233.203.37
- 213.232.235.202
- 37.221.65.251
- 37.221.67.211
- 45.86.86.15
- 85.239.33.148
- 85.239.33.22
- 85.239.34.61
- 91.208.197.152
- 91.208.206.5
- 91.229.239.57
- 93.185.167.95
- 94.103.188.64
URLs
- http://193.233.203.31/mine/
- http://193.233.203.37/cook/
- http://193.233.203.37/look/
- http://193.233.203.37/moon/
- http://193.233.203.37/wood/
- http://213.232.235.202/garant/
- http://37.221.65.251/mobi/
- http://37.221.65.251/nano/
- http://37.221.67.211/before/
- http://37.221.67.211/direct/
- http://91.208.206.5/authz/
- http://91.208.206.5/env
- http://91.208.206.5/mime
- http://91.208.206.5/mpm
- http://91.208.206.5/nego/
SHA256
- 0c7fa9cdb7bd20cf3acf1677f35bbc1217203ae2031cf20ee71ba85680f06a87
- 192e05f11f9ad5575766732105668a7a81aff690af079f610c73a8cfd928a88e
- 20be60f5995a1041bfc9fb1aadf27c469a31b34277979c25f18bcbea8f4ed74b
- 528d7edc3231250dfa8db1ddf8286ea7ba978059f82700f81f996e628932051d
- 84a8d78d1c276560a0e7596206029809c11046b4d14e8df1d13044b78362b567
- 897e9663f37e54915a60b54e160478a60520f43a497ec9fb5913d21ae456ae37
- 8bdec308590bca50e04d23abb9e44c2665f6d5cdb00f2ad8b8535a24aeab9df2
- 908551fca6bc1e5370afa6012e580e5e9f2b9251028a6e213835eed4b044fc4d
- 98f880e1ca7f4f5a869e7c1641206fe8ffe91fb171fb3256ff91bea5d322a1d3
- b3929ac3936237590d3b3210a120703b9dfda91cc30d0ab7088738fc76626728
- c2439b3778afe4aa4aea45a7e4d62811201f3a51a6820bcad6f195f58ef5324b
- f18fa5aad5877f994ffb403f3a34367b7d296803e4a892f8035df5129b72273a
- f76e0d89d63d173ccdbefd484d9d5c21420c8a5630084b29bfa0f0fdbee6ec04
- ffe15cb0e5919a5b37825f2c24cb57f063b9c24d04b86888dfc129f7905e45ee