ESET identifie le Malware DePriMon, un outil de téléchargement

Prochain article

Dans le cadre de leurs recherches sur une cyberattaque au Moyen-Orient, les équipes d’ESET ont découvert un outil de téléchargement singulier utilisant une multitude de techniques novatrices, dont une qui s’avère particulièrement intéressante : le malware est capable de paramétrer un nouveau moniteur de port local et de le nommer « Default Print Monitor » (moniteur d’impression par défaut).

ESET a donc choisi de le baptiser « DePriMon ». Compte tenu de sa complexité et de son architecture modulaire, les chercheurs d’ESET le considèrent comme un framework.

Selon les données de télémétrie d’ESET, DePriMon est actif depuis mars 2017 au minimum. Il a été détecté dans l’environnement d’une entreprise privée basée en Europe centrale, ainsi que sur des dizaines d’ordinateurs au Moyen-Orient. Dans certains cas, DePriMon était accompagné de ColoredLambert, un malware utilisé par le groupe de cyberespionnage Lamberts (également connu sous le nom de Longhorn) soupçonné d’avoir contribué à la fuite des documents Vault 7.

Pour les chercheurs d’ESET, DePriMon s’impose comme un outil de téléchargement très avancé, compte tenu du soin apporté au développement de son architecture et de ses composants critiques. Ce malware mérite donc une attention particulière, au-delà de son empreinte géographique limitée et de ses liens potentiels avec ce groupe notoire.

DePriMon se télécharge et s’exécute dans la mémoire sous forme de fichier DLL, via la technique de chargement « reflective DLL » : le malware n’est donc jamais stocké sur le disque. DePriMon est doté d’un fichier de configuration étonnamment riche comprenant des éléments intéressants. De plus, son chiffrement est efficace et il est capable de protéger adéquatement ses communications C&C. Ce malware s’impose donc comme un outil performant, flexible et persistant qui télécharge et exécute une charge, tout en collectant des informations de base sur les systèmes infectés et sur les utilisateurs.

Pour aider ces derniers à se protéger de cette nouvelle menace, les chercheurs d’ESET ont effectué une analyse approfondie de DePriMon axée sur sa technique d’installation, figurant dans la catégorie « Port Monitors » de la base de connaissances MITRE ATT&CK, dans les stratégies Persistance et Élévation des privilèges.

Comme la base de connaissances MITRE ATT&CK ne liste aucun exemple concret de l’utilisation de cette méthode, les équipes d’ESET estiment que DePriMon représente la première occurrence publique de cette technique de moniteurs de ports.

Pour en savoir plus, consultez notre article « Registers as a Default Print Monitor, but is a malicious downloader. Meet DePriMon » sur WeLiveSecurity.

CONTACT PRESSE
Darina SANTAMARIA : +33 01 86 27 00 39 -   - darina.j@eset-nod32.fr

À propos d'ESET
Fondée en 1992, la société ESET 1er éditeur européen en solutions de cybersécurité est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 900 millions de postes dans le monde.

Pour plus d’informations :  www.eset.com/fr/  Blog : www.welivesecurity.com/fr/