La compañía ESET ha encontrado un programa que descarga malware, llamado DePriMon, este llama la atención ya que registra un monitor de un puerto local denominado Default Print Monitor.

El malware es interesante técnicamente, debido a su complejidad y arquitectura modular, esto lo admiten los investigadores de ESET.

Este malware se encuentra activo desde marzo del 2017, donde se encontró en una empresa privada en Europa Central, al igual que en ordenadores del Oriente Medio.
También ocurrió en algunos casos que este malware se detecto junto a otro llamado ColoredLambert, que fue utilizado por el grupo de ciberespionaje Lamberts (Longhotn) asociado a la fuga de datos de Vault 7.

Este malware (DePriMon) es considerado como un descargador de malware para los expertos de ESET.
En primer lugar, utiliza una técnica conocido como “reflective DLL-loading”, este permite que el malware no se almacene en el disco, es decir, se descarga en la memoria y se ejecuta directamente desde ahí (como una biblioteca DLL). Por esta razón es difícil de encontrar.

También cuenta con un archivo de configuración que es llamativo por su extensión y por algunos elementos interesantes, como su cifrado o la protección de la comunicación con el servidor de mando y control (C&C).

DePriMon es una herramienta potente, persistente y flexible, diseñada para descargar un playload, ejecutarlo y tomar información básica sobre el usuario y el sistema.
Los expertos de ESET creen que es el primer ejemplo descrito públicamente de malware que utiliza la técnica “Port Monitor”.

Fuente: computing