Les chercheurs d’ESET ont découvert un nouvel outil de téléchargement à étapes multiples utilisant plusieurs techniques novatrices, capable de s’enregistrer sous forme de moniteur d’impression par défaut. Ils l’ont baptisé DePriMon.
Dans le cadre de leurs recherches sur une cyberattaque au Moyen-Orient, les équipes d’ESET ont découvert un outil de téléchargement singulier utilisant une multitude de techniques novatrices, dont une qui s’avère particulièrement intéressante : le malware est capable de paramétrer un nouveau moniteur de port local et de le nommer « Default Print Monitor » (moniteur d’impression par défaut).
ESET a donc choisi de le baptiser « DePriMon ». Compte tenu de sa complexité et de son architecture modulaire, les chercheurs d’ESET le considèrent comme un framework.
Selon les données de télémétrie d’ESET, DePriMon est actif depuis mars 2017 au minimum. Il a été détecté dans l’environnement d’une entreprise privée basée en Europe centrale, ainsi que sur des dizaines d’ordinateurs au Moyen-Orient. Dans certains cas, DePriMon était accompagné de ColoredLambert, un malware utilisé par le groupe de cyberespionnage Lamberts (également connu sous le nom de Longhorn) soupçonné d’avoir contribué à la fuite des documents Vault 7.
Pour les chercheurs d’ESET, DePriMon s’impose comme un outil de téléchargement très avancé, compte tenu du soin apporté au développement de son architecture et de ses composants critiques. Ce malware mérite donc une attention particulière, au-delà de son empreinte géographique limitée et de ses liens potentiels avec ce groupe notoire.
DePriMon se télécharge et s’exécute dans la mémoire sous forme de fichier DLL, via la technique de chargement « reflective DLL » : le malware n’est donc jamais stocké sur le disque. DePriMon est doté d’un fichier de configuration étonnamment riche comprenant des éléments intéressants. De plus, son chiffrement est efficace et il est capable de protéger adéquatement ses communications C&C. Ce malware s’impose donc comme un outil performant, flexible et persistant qui télécharge et exécute une charge, tout en collectant des informations de base sur les systèmes infectés et sur les utilisateurs.
Pour aider ces derniers à se protéger de cette nouvelle menace, les chercheurs d’ESET ont effectué une analyse approfondie de DePriMon axée sur sa technique d’installation, figurant dans la catégorie « Port Monitors » de la base de connaissances MITRE ATT&CK, dans les stratégies Persistance et Élévation des privilèges.
Comme la base de connaissances MITRE ATT&CK ne liste aucun exemple concret de l’utilisation de cette méthode, les équipes d’ESET estiment que DePriMon représente la première occurrence publique de cette technique de moniteurs de ports.
Pour en savoir plus, consultez notre article « Registers as a Default Print Monitor, but is a malicious downloader. Meet DePriMon » sur WeLiveSecurity.