AK&M 13 декабря 2019 12:47
Международная антивирусная компания ESET обнаружила вредоносный загрузчик DePriMon, который способен создавать новые локальные порты с именем "Windows Default Print Monitor". Об этом говорится в сообщении ESET.
Благодаря сложности и модульной архитектуре обнаруженное ПО можно считать целой программной платформой.
По данным телеметрии ESET, DePriMon действовал с марта 2017 года. В ряде случаев DePriMon распространялся вместе с ПО, принадлежащим группировке киберпреступников Lamberts. Оно также связано с известной утёчкой информации из хранилища ЦРУ - Vault 7.
Вредонос DePriMon обладает расширенным функционалом и прогрессивной архитектурой: программа загружается в память и выполняется в виде DLL-файла. При этом файл не сохраняется на диске. В то же время DePriMon имеет расширенную конфигурацию с набором интересных компонентов и шифрование, которое эффективно защищает его соединение с командным сервером (C&C).
Таким образом, DePriMon - мощный, гибкий и устойчивый инструмент, предназначенный для загрузки и выполнения компонентов, а также для сбора информации о системе и пользователе. Примечательно, что данное ПО - первый пример вредоноса вида Port Monitors, обнаруженный в реальной среде.
Компания ESET - разработчик антивирусного ПО и эксперт по защите от киберугроз. Решения ESET NOD32 представлены в 200 странах, в России - с 2005 года.