Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении интересного с технической точки зрения загрузчика под названием DePriMon. Среди многих его нетрадиционных методов специалисты ESET выделяют возможность вредоносного программного обеспечения создавать новые локальные порты под названием «Default Print Monitor». Из-за сложности и модульной архитектуры DePriMon исследователи ESET считают его программной платформой.
Согласно данным телеметрии ESET, вредоносное программное обеспечение DePriMon действовало как минимум с марта 2017 года. Он был обнаружен в частной компании в Центральной Европе, а также на десятках компьютеров на Ближнем Востоке. В некоторых случаях DePriMon распространялся вместе с вредоносным программным обеспечением, которое принадлежит группе киберпреступников Lamberts (также известные как Longhorn) и связано с утечкой Vault 7.
Угроза DePriMon имеет расширенный функционал и прогрессивную архитектуру. Вредоносная программа загружается в память и выполняется в виде файла DLL, используя метод загрузки DLL. Стоит отметить, что файл никогда не сохраняется на диске. Кроме этого, DePriMon имеет расширенную конфигурацию программного обеспечения с интересными элементами, а также шифрование, которое эффективно защищает соединение с командным сервером (C&C).
Как результат, DePriMon представляет собой мощный, гибкий и устойчивый инструмент, предназначенный для загрузки и выполнения компонента, а также для сбора основной информации о системе и пользователе.
Стоит отметить, что DePriMon стал первым примером вредоносного программного обеспечения вида «Port Monitors», который был зафиксирован в реальной среде.
Подробная информация о DePriMon доступна по ссылке.