Вредоносная программа использует редкий язык для обхода стандартной защиты.

Вредоносная программа Pronsis Loader на базе JPHP наносит ущерб

• Новая вредоносная программа обходится с традиционными инструментами киберзащиты
• Программа может внедрять специальные нагрузки по мере необходимости

Trustwave SpiderLabs недавно обнаружила новый тип вредоносного программного обеспечения под названием Pronsis Loader, которое уже вызывает проблемы благодаря своей уникальной разработке и методам.

Pronsis Loader использует JPHP, малоизвестный язык программирования, который редко применяется киберпреступниками, а также использует продвинутые методы установки, что делает его более сложным для обнаружения и нейтрализации системами кибербезопасности.

JPHP, разновидность популярного языка PHP, редко встречается в мире разработки вредоносного ПО. Хотя PHP обычно используется для веб-приложений, его интеграция в настольное вредоносное ПО необычна, что дает Pronsis Loader преимущество при уклонении от обнаружения.

JPHP в киберпреступности – редкая находка

Pronsis Loader может обходить системы определения по сигнатурам, которые чаще всего настроены на выявление более распространенных языков программирования в вредоносном ПО. Использование JPHP придаёт программному обеспечению элемент «невидимости», позволяя зацепиться в системах защиты.

Программа также использует методы обфускации и шифрования, чтобы скрыть своё присутствие на начальной стадии заражения. После запуска она применяет сложные методы для обхода традиционных антивирусных программ и систем защиты конечных точек. Загрузчик сначала устанавливается скрыто, маскируя свою деятельность под легитимные процессы или приложения, что затрудняет обнаружение как автоматическими средствами безопасности, так и специалистами.

После установки Pronsis Loader может загружать и выполнять дополнительные вредоносные программы, включая программы-вымогатели, шпионское ПО или инструменты для кражи данных. Такой модульный подход делает вредоносное ПО крайне гибким, позволяя злоумышленникам адаптировать финальную загрузку в зависимости от системы или окружения цели. Pronsis Loader является частью растущей тенденции в разработке вредоносного ПО, где загрузчики используются как первый шаг в многоступенчатых атаках. Эти загрузчики, разработанные для ввода другого вредоносного ПО в систему, предоставляют злоумышленникам гибкость.

Для борьбы с такими угрозами, которые постоянно развиваются, командам безопасности следует принимать более продвинутые методы мониторинга и анализа, такие как обнаружение на основе поведенческих характеристик, которое может идентифицировать вредоносное ПО по его действиям, а не только по сигнатурам. Кроме того, постоянное обновление данных об угрозах может помочь выявить использование редких языков и методов, как это происходит в случае с Pronsis Loader.

«Pronsis Loader представляет собой заметный сдвиг в том, как киберпреступники внедряют вредоносные программы, используя JPHP и тихие установки для обхода традиционных методов обнаружения. Его способность доставлять высокорисковые нагрузки делает его особенно опасным,» отметил Шон Канады, Глобальный директор Trustwave SpiderLabs.

«Наши исследования выявляют не только уникальные возможности вредоносного ПО, но и инфраструктуру, которая может быть использована в будущих кампаниях, давая командам безопасности шанс усилить свои защитные меры,» добавил Канады.

Источник: TechRadar