Se ha detectado un descargador de malware que está utilizando técnicas que no se habían visto antes y en consecuencia se destaca por su dificultad para encontrarlo. Apodado DePriMon, el descargador malicioso descubierto por la firma de ciberseguridad ESET, se utiliza para implementar malware utilizado por un grupo de cibercriminales llamado Lambert, también conocido como Longhorn, que se especializa en ataques contra compañías europeas y de Medio Oriente.
Este malware registra un nuevo monitor de puerto local, un truco incluido en la técnica de «Monitores de puertos». Para eso, el malware usa el nombre «Monitor de impresión predeterminado de Windows», es por eso que se le ha llamado DePriMon.
Segun ESET, DePriMon es un descargador inusualmente avanzado cuyos desarrolladores han hecho un esfuerzo adicional para configurar la arquitectura y crear los componentes críticos.
DePriMon se descarga en la memoria y se ejecuta directamente desde allí como una DLL. Nunca se almacena en el disco. Tiene un archivo de configuración sorprendentemente extenso con varios elementos interesantes, su cifrado se implementa correctamente y protege la comunicación C&C de manera efectiva.
Como resultado, DePriMon es una herramienta potente, flexible y persistente diseñada para descargar una carga útil y ejecutarla, y para recopilar información básica sobre el sistema y su usuario en el camino.
Los expertos recomiendan tomar las medidas de prevención básicas: mantener su sistema de seguridad actualizado y no descargar ni ejecutar archivos sospechosos o de dudoso origen.
