Загрузчик DePriMon, создающий локальные порты в Windows

По сообщению компании ESET, обнаружен вредоносный загрузчик DePriMon, способный создавать новые локальные порты с именем Windows Default Print Monitor. Благодаря сложности и модульной архитектуре обнаруженное ПО можно считать целой программной платформой.

По данным телеметрии ESET, DePriMon действовал с марта 2017 г. В ряде случаев он распространялся вместе с ПО, принадлежащим группировке киберпреступников Lamberts,которое также связано с известной утечкой информации из хранилища ЦРУ — Vault 7.

ПО DePriMon имеет расширенный функционал и прогрессивную архитектуру: программа загружается в память и выполняется в виде DLL-файла. При этом файл не сохраняется на диске. В то же время DePriMon имеет расширенную конфигурацию с набором интересных компонентов и шифрование, которое эффективно защищает его соединение с командным сервером (C&C).

Таким образом, считают эксперты, DePriMon – мощный, гибкий и устойчивый инструмент, предназначенный для загрузки и выполнения компонентов, а также для сбора информации о системе и пользователе. Примечательно, что это первый пример вредоноса вида Port Monitors, обнаруженный в реальной среде.