由 Cris Tomboc 和 King Orande 领导的 Trustwave 威胁情报团队最近发布了一份报告,公布了一种新发现的名为 Pronsis Loader 的恶意软件。该恶意软件于 2023 年 11 月首次出现,与 2024 年初出现的类似威胁 D3F@ck Loader 进行了比较。Pronsis Loader 的显著特点是它能发送 Lumma Stealer 和 Latrodectus 等恶意软件,给受害者带来巨大风险。发现其基础设施与 Lumma Stealer 相关联,凸显了这一不断演变的威胁的规模。
Pronsis Loader 与其他加载程序的不同之处在于它使用了 JPHP(一种 PHP 的 Java 实现)。“研究人员解释说:”两者都使用 JPHP 编译的可执行文件,因此很容易互换。不过,与使用 Inno Setup Installer 的 D3F@ck Loader 不同,Pronsis Loader 部署的是 Nullsoft Scriptable Install System(NSIS)。这种开源工具可以定制 Windows 安装程序,使 Pronsis Loader 在安装技术上具有明显优势。
Pronsis 加载器
Pronsis Loader 使用 NSIS | 图片: Trustwave
有趣的是,JPHP 在恶意软件开发者中并不广泛使用,这使得 Pronsis Loader 对这种语言的依赖偏离了典型的恶意软件环境。这种实现方式允许创建 .phb 文件,而使用传统的 Java 工具无法轻松反编译这些文件。尽管存在这种复杂性,但由于这些文件中存在 CAFEBABE 标头,威胁分析人员可以在提取后对其进行反编译,从而揭示其真实性质。
Pronsis Loader 的安装程序包含大量有效载荷,其中大部分由良性文件组成,旨在掩盖内嵌的恶意代码。据研究人员称,“安装程序的大部分内容由良性文件组成,旨在掩盖恶意文件”。这些文件被放入 %Temp% 目录,但其中隐藏着一个关键的可执行文件–FailWorker-Install.exe,它包含真正的恶意软件。
该可执行文件会触发一系列事件,通过 NSIS 插件调用 Nact.dll 文件来运行 JPHP 编译的加载程序。提取后,可以在 JPHP-INF 目录中找到主模块,其中 launcher.conf 文件指定了 app\modules 目录的初始 .bootstrap 文件。Pronsis Loader 的结构允许它从指定 URL 下载有效载荷,然后发送 Latrodectus 恶意软件。该恶意软件主要通过钓鱼邮件传播,与 IcedID 等其他已知威胁如出一辙。
Pronsis Loader 具有逃避检测的嵌入式功能。其中一种规避技术是通过隐藏在 MainForm.phb 文件中的 PowerShell 脚本实现的。这个编码脚本会禁用 Windows Defender 对用户配置文件目录的扫描,使恶意软件更容易运行而不被发现。“报告强调说:”这个 PowerShell 命令将被放置在一个批处理文件中,文件名为随机数字,并通过 cmd.exe 执行。
通过部署 Lumma Stealer 和 Latrodectus,进一步证明了 Pronsis Loader 提供多种有效载荷的能力。Latrodectus 于 2023 年 10 月首次被观察到,因其激进的感染技术而备受关注。受感染的机器会加载一系列批处理文件和可执行文件,以方便恶意软件的安装和持续运行。
在一个实例中,Latrodectus 通过一个名为 todaydatabase.zip 的文件发送,该文件将一个可执行文件放入 %Temp% 目录,启动了感染过程。安装完成后,Latrodectus 会使用计划任务来确保持久性,每 10 分钟运行一次,重新执行其恶意组件。此外,该恶意软件还创建了一个名为 runnung 的互斥程序来管理持续感染。
Pronsis Loader 的推出标志着 JPHP 作为恶意软件平台的使用发生了重大转变。通过利用 NSIS 安装程序和规避典型的安全协议,Pronsis Loader 对网络安全防御者提出了严峻的挑战。报告强调,这种加载器 “突出了它与 D3F@ck Loader 的相似之处,以及它在提供 Lumma Stealer 和 Latrodectus 作为主要有效载荷方面的作用”。
发表评论
您还未登录,请先登录。
登录