Pronsis Loader IOCs

security IOC

Команда аналитиков угроз Trustwave обнаружила новое вредоносное ПО под названием Pronsis Loader, поставляющее основную полезную нагрузку Lumma Stealer и Latrodectus.

Pronsis Loader

Pronsis Loader похож на D3F@ck Loader тем, что оба они используют исполняемые файлы, скомпилированные на языке JPHP. JPHP, язык программирования, производный от PHP, является менее распространенным языком программирования среди злоумышленников. JPHP использовался IceRat в 2020 году, а затем D3F@ck в 2024 году. Pronis Loader отличается от D3F@ck способом развертывания: он использует Nullsoft Scriptable Install System (NSIS), популярный инструмент для создания инсталляторов Windows. Одним из ключевых приемов обхода является исключение пользовательского профиля из целей, что делает обнаружение более сложным для некоторых решений безопасности. Pronsis Loader не использует сертификаты, включая SSL-сертификаты, и сбрасывает файлы в каталог %Temp%, маскируя вредоносные файлы среди доброкачественных. Анализ, проведенный Trustwave, показал, что Pronsis Loader постоянно использует одни и те же соглашения об именовании исходного пути, E:\Lab\ORDERS\<Date>, и следует определенному соглашению об именовании ZIP-файлов. Эти файлы обычно объединяют три слова в имени файла, причем третье слово обычно является PRO.

Исследователи заметили, что Pronsis Loader в первую очередь доставляет полезную нагрузку Lumma Stealer и, в некоторых случаях, вредоносное ПО Latrodectus. Lumma Stealer загружает свою полезную нагрузку с указанного URL-адреса и декодирует зашифрованный DLL-файл. Инфраструктура, связанная с Lumma Stealer, включает в себя несколько IP-адресов и открытых каталогов, используемых для хранения вредоносных файлов, а командно-контрольный (C2) сервер идентифицируется как «locatedblsoqp[.]shop/api». Latrodectus распространяется через фишинговые электронные письма и сохраняется через запланированную задачу под названием «Updater» и мьютекс под названием «runnung». Она работает, выполняя полезную нагрузку из загруженного архивного файла, который затем сбрасывает и выполняет дополнительные компоненты вредоносной программы Latrodectus. C2-серверы вредоносной программы включают «restoreviner[.]com/test/» и «peronikilinfer[.]com/test/».

Indicators of Compromise

IPv4

  • 159.253.120.202
  • 176.123.1.34
  • 176.123.2.192
  • 185.113.8.141
  • 193.233.202.183
  • 193.233.203.109
  • 193.233.203.31
  • 193.233.203.37
  • 213.232.235.202
  • 37.221.65.251
  • 37.221.67.211
  • 45.86.86.15
  • 85.239.33.148
  • 85.239.33.22
  • 85.239.34.61
  • 91.208.197.152
  • 91.208.206.5
  • 91.229.239.57
  • 93.185.167.95
  • 94.103.188.64

URLs

  • http://193.233.203.31/mine/
  • http://193.233.203.37/cook/
  • http://193.233.203.37/look/
  • http://193.233.203.37/moon/
  • http://193.233.203.37/wood/
  • http://213.232.235.202/garant/
  • http://37.221.65.251/mobi/
  • http://37.221.65.251/nano/
  • http://37.221.67.211/before/
  • http://37.221.67.211/direct/
  • http://91.208.206.5/authz/
  • http://91.208.206.5/env
  • http://91.208.206.5/mime
  • http://91.208.206.5/mpm
  • http://91.208.206.5/nego/

SHA256

  • 0c7fa9cdb7bd20cf3acf1677f35bbc1217203ae2031cf20ee71ba85680f06a87
  • 192e05f11f9ad5575766732105668a7a81aff690af079f610c73a8cfd928a88e
  • 20be60f5995a1041bfc9fb1aadf27c469a31b34277979c25f18bcbea8f4ed74b
  • 528d7edc3231250dfa8db1ddf8286ea7ba978059f82700f81f996e628932051d
  • 84a8d78d1c276560a0e7596206029809c11046b4d14e8df1d13044b78362b567
  • 897e9663f37e54915a60b54e160478a60520f43a497ec9fb5913d21ae456ae37
  • 8bdec308590bca50e04d23abb9e44c2665f6d5cdb00f2ad8b8535a24aeab9df2
  • 908551fca6bc1e5370afa6012e580e5e9f2b9251028a6e213835eed4b044fc4d
  • 98f880e1ca7f4f5a869e7c1641206fe8ffe91fb171fb3256ff91bea5d322a1d3
  • b3929ac3936237590d3b3210a120703b9dfda91cc30d0ab7088738fc76626728
  • c2439b3778afe4aa4aea45a7e4d62811201f3a51a6820bcad6f195f58ef5324b
  • f18fa5aad5877f994ffb403f3a34367b7d296803e4a892f8035df5129b72273a
  • f76e0d89d63d173ccdbefd484d9d5c21420c8a5630084b29bfa0f0fdbee6ec04
  • ffe15cb0e5919a5b37825f2c24cb57f063b9c24d04b86888dfc129f7905e45ee
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий