Nova técnica de instalação desinstalada de malware

Os pesquisadores da ESET, ao analisar um ataque cibern√©tico contra alvos no Oriente M√©dio, identificaram um downloader tecnicamente interessante. O malware usa muitas t√©cnicas estranhas, uma das quais se destaca: o registro de um novo sistema de monitor de porta local chamado “Monitor de Impress√£o Padr√£o”.

Devido a essa técnica, os pesquisadores da ESET nomearam o downloader DePriMon e, dada a sua complexidade e arquitetura modular, consideram-no uma estrutura de malware.Malware

De acordo com a telemetria da ESET, o malware DePriMon está ativo desde pelo menos março de 2017. Foi detectado em uma empresa privada com sede na Europa Central e em dezenas de computadores no Oriente Médio. Em alguns casos, o DePriMon foi detectado junto com o software malicioso ColoredLambert usado pela equipe de espionagem cibernética da Lamberts (também conhecida como Longhorn) e vinculado ao vazamento do Vault 7.

Os pesquisadores da ESET acreditam que o DePriMon √© um downloader extremamente avan√ßado e que seus criadores fizeram esfor√ßos significativos para estruturar sua arquitetura e compor suas importantes fun√ß√Ķes. Portanto, vale a pena prestar aten√ß√£o a outros elementos al√©m da distribui√ß√£o geogr√°fica limitada de seus objetivos e de seu poss√≠vel relacionamento com uma conhecida equipe de reconhecimento cibern√©tico.

O DePriMon √© instalado na mem√≥ria e √© executado diretamente a partir da√≠ como um arquivo DLL usando a t√©cnica de carregamento de DLL. Nunca √© armazenado no disco. Possui um arquivo de configura√ß√£o incrivelmente extenso com elementos interessantes, sua criptografia √© executada corretamente e protege efetivamente a comunica√ß√£o com seus C&C. Como resultado, o DePriMon √© uma ferramenta poderosa, flex√≠vel e dur√°vel, projetada para receber e executar uma carga √ļtil e, em seguida, coletar algumas informa√ß√Ķes b√°sicas sobre o sistema e seus usu√°rios.

Para ajudar os usu√°rios a se protegerem dessa amea√ßa, os pesquisadores da ESET analisaram minuciosamente esse malware que foi descoberto recentemente, concentrando-se em sua t√©cnica de instala√ß√£o, classificada no banco de dados MITRE ATT & CK chamado “Port Monitors”. nas categorias de t√°tica “Persist√™ncia” e “Escala√ß√£o de privil√©gios”.

Como nenhum incidente da vida real foi relatado no MITRE ATT & CK, os pesquisadores da ESET acreditam que o DePriMon √© o primeiro exemplo da t√©cnica “Port Monitors” descrita em p√ļblico.

Mais detalhes podem ser encontrados no artigo “Registra-se como um Monitor de impress√£o padr√£o, mas √© um download malicioso. Conhe√ßa o DePriMon “em WeLiveSecurity.