Спеціалісти ESET виявили нову техніку для інфікування користувачів

Компанія ESET — лідер в галузі інформаційної безпеки — повідомляє про виявлення цікавого з  технічної точки зору завантажувача під назвою DePriMon. Серед багатьох його нетрадиційних методів спеціалісти ESET виокремлюють можливість шкідливого програмного забезпечення створювати нові локальні порти під назвою «Default Print Monitor». Через складність та модульну архітектуру DePriMon дослідники ESET вважають його програмною платформою.

Шкідливе програмне забезпечення DePriMon діє з березня 2017 року - ESET.

Відповідно до даних телеметрії ESET, шкідливе програмне забезпечення DePriMon діяло щонайменше з березня 2017 року. Його було виявлено в приватній компанії в Центральній Європі, а також на десятках комп'ютерів на Близькому Сході. У деяких випадках DePriMon поширювався разом зі шкідливим програмним забезпеченням, яке належить групі кіберзлочинців Lamberts (також відомі як Longhorn) та пов’язане з витоком Vault 7.

Загроза DePriMon має розширений функціонал та прогресивну архітектуру. Шкідлива програма завантажується в пам'ять та виконується у вигляді файлу DLL, використовуючи метод завантаження DLL. Варто зазначити, що файл ніколи не зберігається на диску. Крім цього, DePriMon має розширену конфігурацію програмного забезпечення з цікавими елементами, а також належне шифрування, яке ефективно захищає з’єднання з командним сервером (C&C).

Як результат, DePriMon представляє собою потужний, гнучкий та стійкий інструмент, призначений для завантаження та виконання компонента, а також для збирання основної інформації про систему та користувача.

Варто зазначити, що DePriMon став першим прикладом шкідливого програмного забезпечення виду «Port Monitors», який був зафіксований у реальному середовищі.

Детальніша інформація про DePriMon доступна за посиланням.