Menu
ESET identifie un malware utilisant une technique d’installation innovante et inédite
ESET identifie un malware utilisant une technique d’installation innovante et inédite. © DR
Dans le cadre de leurs recherches sur une cyberattaque au Moyen-Orient, les équipes d’ESET ont découvert un outil de téléchargement singulier utilisant une multitude de techniques novatrices, dont une qui s’avère particulièrement intéressante : le malware est capable de paramétrer un nouveau moniteur de port local et de le nommer « Default Print Monitor » (moniteur d’impression par défaut).
ESET a donc choisi de le baptiser « DePriMon ». Compte tenu de sa complexité et de son architecture modulaire, les chercheurs d’ESET le considèrent comme un framework.
Pour les chercheurs d’ESET, DePriMon s’impose comme un outil de téléchargement très avancé, compte tenu du soin apporté au développement de son architecture et de ses composants critiques. Ce malware mérite donc une attention particulière, au-delà de son empreinte géographique limitée et de ses liens potentiels avec ce groupe notoire.
DePriMon se télécharge et s’exécute dans la mémoire sous forme de fichier DLL, via la technique de chargement « reflective DLL » : le malware n’est donc jamais stocké sur le disque. DePriMon est doté d’un fichier de configuration étonnamment riche comprenant des éléments intéressants. De plus, son chiffrement est efficace et il est capable de protéger adéquatement ses communications C&C. Ce malware s’impose donc comme un outil performant, flexible et persistant qui télécharge et exécute une charge, tout en collectant des informations de base sur les systèmes infectés et sur les utilisateurs.
Pour aider ces derniers à se protéger de cette nouvelle menace, les chercheurs d’ESET ont effectué une analyse approfondie de DePriMon axée sur sa technique d’installation, figurant dans la catégorie « Port Monitors » de la base de connaissances MITRE ATT&CK, dans les stratégies Persistance et Élévation des privilèges.
Comme la base de connaissances MITRE ATT&CK ne liste aucun exemple concret de l’utilisation de cette méthode, les équipes d’ESET estiment que DePriMon représente la première occurrence publique de cette technique de moniteurs de ports.
ESET a donc choisi de le baptiser « DePriMon ». Compte tenu de sa complexité et de son architecture modulaire, les chercheurs d’ESET le considèrent comme un framework.
Pour les chercheurs d’ESET, DePriMon s’impose comme un outil de téléchargement très avancé, compte tenu du soin apporté au développement de son architecture et de ses composants critiques. Ce malware mérite donc une attention particulière, au-delà de son empreinte géographique limitée et de ses liens potentiels avec ce groupe notoire.
DePriMon se télécharge et s’exécute dans la mémoire sous forme de fichier DLL, via la technique de chargement « reflective DLL » : le malware n’est donc jamais stocké sur le disque. DePriMon est doté d’un fichier de configuration étonnamment riche comprenant des éléments intéressants. De plus, son chiffrement est efficace et il est capable de protéger adéquatement ses communications C&C. Ce malware s’impose donc comme un outil performant, flexible et persistant qui télécharge et exécute une charge, tout en collectant des informations de base sur les systèmes infectés et sur les utilisateurs.
Pour aider ces derniers à se protéger de cette nouvelle menace, les chercheurs d’ESET ont effectué une analyse approfondie de DePriMon axée sur sa technique d’installation, figurant dans la catégorie « Port Monitors » de la base de connaissances MITRE ATT&CK, dans les stratégies Persistance et Élévation des privilèges.
Comme la base de connaissances MITRE ATT&CK ne liste aucun exemple concret de l’utilisation de cette méthode, les équipes d’ESET estiment que DePriMon représente la première occurrence publique de cette technique de moniteurs de ports.
