Обнаружен вредонос маскирующийся под локальный порт Windows
16.12.2019
407
0.0
| Компания Eset обнаружила вредоносный загрузчик DePriMon, который способен создавать новые локальные порты с именем Windows Default Print Monitor. За счет сложности и модульной архитектуры обнаруженное ПО можно считать целой программной платформой. По данным телеметрии Eset, DePriMon действовал с марта 2017 г. В ряде случаев DePriMon распространялся вместе с ПО, принадлежащим группировке киберпреступников Lamberts. Оно также связано с известной утечкой информации из хранилища ЦРУ – Vault 7. Вредонос DePriMon обладает расширенным функционалом и прогрессивной архитектурой: программа загружается в память и выполняется в виде DLL-файла. При этом файл не сохраняется на диске. В то же время DePriMon имеет расширенную конфигурацию с набором интересных компонентов и шифрование, которое эффективно защищает его соединение с командным сервером (C&C). DePriMon – мощный, гибкий и устойчивый инструмент, предназначенный для загрузки и выполнения компонентов, а также для сбора информации о системе и пользователе. Примечательно, что данное ПО – первый пример вредоноса вида Port Monitors, обнаруженный в реальной среде. |
Комментарии (0) | |