【安全资讯】Pronsis Loader:背后新兴的JPHP驱动恶意软件威胁
概要:
Pronsis Loader是Trustwave威胁情报团队最新发现的一种新型恶意软件,首次出现于2023年11月。与其他恶意软件如Lumma Stealer和Latrodectus相关,Pronsis Loader凭借其独特的JPHP实现及NSIS安装技术,展现了强大的威胁能力。主要内容:
Trustwave的研究显示,Pronsis Loader利用JPHP,这是一种PHP的Java实现,与常见的恶意软件语言使用不同,令其成为极具挑战性的威胁。与D3F@ck Loader相比,Pronsis Loader使用了NSIS以替代Inno Setup Installer,这使得它在定制化安装技术上占据上风。Pronsis Loader的安装程序包含大量无害文件,意在混淆其恶意代码。本质上,这些文件被投放到%Temp%目录中,其中隐藏着关键执行文件FailWorker-Install.exe,利用Nact.dll文件通过NSIS插件运行JPHP编译的加载程序。
Pronsis Loader的结构允许其从指定URL下载并传递Latrodectus恶意软件。这类恶意软件通常通过钓鱼邮件传播,与IcedID等已知威胁相似。研究还发现,Pronsis Loader内置了避开检测的特性,比如通过隐藏在MainForm.phb文件中的PowerShell脚本,禁用Windows Defender在用户目录中的扫描。
Pronsis Loader的出现标志着JPHP作为恶意软件平台的一次重要转变。通过利用NSIS安装程序及规避通常的安全协议,Pronsis Loader为网络安全防御者带来了巨大挑战。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享