Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

Descubierto un nuevo malware: se llama DePriMon y es un programa de descarga muy avanzado

  • Actualidad

DePriMon malware

El hallazgo de DePriMon, un programa de descarga de malware se lo debemos a ESET, cuyos investigadores creen que está activo desde marzo de 2017. Dicen que es inusitadamente avanzado debido a que los desarrolladores han puesto especial énfasis en crear su arquitectura y en desarrollar sus componentes críticos.

De acuerdo con los datos de la telemetría de ESET, el malware DePriMon está activo desde, al menos, marzo de 2017 y fue detectado por primera vez en una empresa del sector privado en Europa Central, así como en docenas de ordenadores en Oriente Medio. En algunos casos, DePriMon se detectó junto al malware ColoredLambert, utilizado por el grupo de ciberespionaje Lamberts (también conocido como Longhorn) y asociado a la fuga de datos de Vault 7.

Sus investigadores consideran a DePriMon como un descargador de malware inusitadamente avanzado debido a que los desarrolladores han puesto especial énfasis en crear su arquitectura y en desarrollar sus componentes críticos. Por ello, es importante que se tenga en cuenta su capacidad más allá de los límites geográficos de su distribución inicial y su posible relación con un grupo de espionaje. 

La firma, que ve este malware muy interesante técnicamente debido a su complejidad y arquitectura modular, dieron con esta novedosa técnica de ataque investigando unas acciones llevadas a cabo por ciberdelincuentes en Oriente Medio.

DePriMon se descarga en la memoria y se ejecuta directamente desde ahí como una biblioteca DLL utilizando una técnica conocida como “reflective DLL-loading” que permite que el malware nunca se almacene en el disco. Cuenta con un archivo de configuración que llama la atención por su extensión y por algunos elementos interesantes, como su cifrado o la protección de la comunicación con el servidor de mando y control (C&C). Como resultado de todo ello, DePriMon es una herramienta persistente, potente y flexible diseñada para descargar un payload, ejecutarlo y recoger información básica sobre el sistema y sobre el usuario.

Para ayudar a los usuarios a defenderse de esta amenaza, los investigadores de ESET han analizado el malware profundamente, centrándose especialmente en la etapa de instalación, catalogada como “Port Monitors” en la base de datos de conocimiento MITRE ATT&CK, en las tácticas tanto de Persistencia como de Escalado de Privilegios. Como dicha base de datos no incluye ejemplos reales de esta técnica, los investigadores de ESET creen que es el primer ejemplo descrito públicamente de malware que utiliza la técnica “Port Monitor

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos