Хитрый вредонос маскируется под локальный порт Windows

Антивирусная компания ESET обнаружила вредоносный загрузчик, получивший название DePriMon, который способен создавать новые локальные порты с именем «Windows Default Print Monitor». Как отмечают эксперты, благодаря сложности и модульной архитектуре обнаруженное ПО можно считать целой программной платформой.

По данным телеметрии ESET, DePriMon действовал с марта 2017 года. В ряде случаев DePriMon распространялся вместе с ПО, принадлежащим группировке киберпреступников Lamberts. Оно также связано с известной утечкой информации из хранилища ЦРУ — Vault 7.

Вредонос DePriMon обладает расширенным функционалом и прогрессивной архитектурой: программа загружается в память и выполняется в виде DLL-файла. При этом файл не сохраняется на диске. В то же время DePriMon имеет расширенную конфигурацию с набором интересных компонентов и шифрование, которое эффективно защищает его соединение с командным сервером (C&C).

Таким образом, отмечают эксперты, DePriMon представляет собой мощный, гибкий и устойчивый инструмент, предназначенный для загрузки и выполнения компонентов, а также для сбора информации о системе и пользователе. Эксперты ESET также отмечают, что данное ПО — это первый пример вредоноса вида Port Monitors, обнаруженный в реальной среде.

Автор:	Softodrom.ru
Дата:	16.12.2019 16:33