Eset впервые зафиксировала в реальной среде вредонос вида Port Monitors

Компания Eset сообщает о выявлении интересного с технической точки зрения загрузчика под названием DePriMon. Среди многих его нетрадиционных методов специалисты Eset выделяют возможность вредоносного ПО создавать новые локальные порты под названием Default Print Monitor. Из-за сложности и модульной архитектуры DePriMon исследователи Eset считают его программной платформой.

Согласно данным телеметрии Eset, вредонос DePriMon действовал как минимум с марта 2017 г. Он был обнаружен в частной компании в Центральной Европе, а также на десятках компьютеров на Ближнем Востоке. В некоторых случаях DePriMon распространялся вместе с вредоносным ПО, которое принадлежит группе киберпреступников Lamberts (также известные как Longhorn) и связано с утечкой Vault 7.

Угроза DePriMon имеет расширенный функционал и прогрессивную архитектуру. Вредоносная программа загружается в память и выполняется в виде файла DLL, используя метод загрузки DLL. Стоит отметить, что файл никогда не сохраняется на диске. Кроме этого, DePriMon имеет расширенную конфигурацию ПО с интересными элементами, а также шифрование, которое эффективно защищает соединение с командным сервером (C&C).

Как результат, DePriMon представляет собой мощный, гибкий и устойчивый инструмент, предназначенный для загрузки и выполнения компонента, а также для сбора основной информации о системе и пользователе.

Стоит отметить, что DePriMon стал первым примером вредоносного ПО вида Port Monitors, который был зафиксирован в реальной среде.