【安全资讯】Pronsis Loader：背后新兴的JPHP驱动恶意软件威胁

概要：

Pronsis Loader是Trustwave威胁情报团队最新发现的一种新型恶意软件，首次出现于2023年11月。与其他恶意软件如Lumma Stealer和Latrodectus相关，Pronsis Loader凭借其独特的JPHP实现及NSIS安装技术，展现了强大的威胁能力。

主要内容：

Trustwave的研究显示，Pronsis Loader利用JPHP，这是一种PHP的Java实现，与常见的恶意软件语言使用不同，令其成为极具挑战性的威胁。与D3F@ck Loader相比，Pronsis Loader使用了NSIS以替代Inno Setup Installer，这使得它在定制化安装技术上占据上风。

Pronsis Loader的安装程序包含大量无害文件，意在混淆其恶意代码。本质上，这些文件被投放到%Temp%目录中，其中隐藏着关键执行文件FailWorker-Install.exe，利用Nact.dll文件通过NSIS插件运行JPHP编译的加载程序。

Pronsis Loader的结构允许其从指定URL下载并传递Latrodectus恶意软件。这类恶意软件通常通过钓鱼邮件传播，与IcedID等已知威胁相似。研究还发现，Pronsis Loader内置了避开检测的特性，比如通过隐藏在MainForm.phb文件中的PowerShell脚本，禁用Windows Defender在用户目录中的扫描。

Pronsis Loader的出现标志着JPHP作为恶意软件平台的一次重要转变。通过利用NSIS安装程序及规避通常的安全协议，Pronsis Loader为网络安全防御者带来了巨大挑战。