Techno.

ESET identifie un malware utilisant une technique d’installation innovante et inédite

Les chercheurs d’ESET ont découvert un nouvel outil de téléchargement à étapes multiples utilisant plusieurs techniques novatrices, capable de s’enregistrer sous forme de moniteur d’impression par défaut. Ils l’ont baptisé DePriMon.

Dans le cadre de leurs recherches sur une cyberattaque au Moyen-Orient, les équipes d’ESET ont découvert un outil de téléchargement singulier utilisant une multitude de techniques novatrices, dont une qui s’avère particulièrement intéressante : le malware est capable de paramétrer un nouveau moniteur de port local et de le nommer « Default Print Monitor » (moniteur d’impression par défaut).

ESET a donc choisi de le baptiser « DePriMon ». Compte tenu de sa complexité et de son architecture modulaire, les chercheurs d’ESET le considèrent comme un framework.

Selon les données de télémétrie d’ESET, DePriMon est actif depuis mars 2017 au minimum. Il a été détecté dans l’environnement d’une entreprise privée basée en Europe centrale, ainsi que sur des dizaines d’ordinateurs au Moyen-Orient. Dans certains cas, DePriMon était accompagné de ColoredLambert, un malware utilisé par le groupe de cyberespionnage Lamberts (également connu sous le nom de Longhorn) soupçonné d’avoir contribué à la fuite des documents Vault 7.

Pour les chercheurs d’ESET, DePriMon s’impose comme un outil de téléchargement très avancé, compte tenu du soin apporté au développement de son architecture et de ses composants critiques. Ce malware mérite donc une attention particulière, au-delà de son empreinte géographique limitée et de ses liens potentiels avec ce groupe notoire.

DePriMon se télécharge et s’exécute dans la mémoire sous forme de fichier DLL, via la technique de chargement « reflective DLL » : le malware n’est donc jamais stocké sur le disque. DePriMon est doté d’un fichier de configuration étonnamment riche comprenant des éléments intéressants. De plus, son chiffrement est efficace et il est capable de protéger adéquatement ses communications C&C. Ce malware s’impose donc comme un outil performant, flexible et persistant qui télécharge et exécute une charge, tout en collectant des informations de base sur les systèmes infectés et sur les utilisateurs.

Pour aider ces derniers à se protéger de cette nouvelle menace, les chercheurs d’ESET ont effectué une analyse approfondie de DePriMon axée sur sa technique d’installation, figurant dans la catégorie « Port Monitors » de la base de connaissances MITRE ATT&CK, dans les stratégies Persistance et Élévation des privilèges.

Comme la base de connaissances MITRE ATT&CK ne liste aucun exemple concret de l’utilisation de cette méthode, les équipes d’ESET estiment que DePriMon représente la première occurrence publique de cette technique de moniteurs de ports.

À propos d’ESET

Fondée en 1992, ESET, 1er éditeur européen en solutions de cybersécurité est spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd’hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 900 millions de postes dans le monde.

[amazon_link asins=’B07QDSHD83,B01GEV3CKS,B07DX1TXZ6,B015N9FZOS,B07DX5Y9VQ,B07WLKG6V2,B07VQ8CJT5,B07V3LBP3V,B07GQYV5MF’ template=’ProductCarousel’ store=’notresiecle-21′ marketplace=’FR’ link_id=’8e69fc97-c2f0-452e-82ad-b525b4b84cc1′]

Olivier Kauf

Consultant depuis plus de 30 ans, Je suis depuis une dizaine d'années journaliste, professionnel dans le domaine des risques et des assurances pour le e-mag RiskAssur-hebdo (https://www.riskassur-hebdo.com) et témoin de mon époque pour https://notre-siecle.com et https://perelafouine.com RiskAssur, Notre-Siècle et PèreLaFouine proposent chaque jour de nouveaux articles issus de la rédaction : la vie des sociétés (nominations, acquisitions, accords, …), des tests/présentations de produits, des ouvrages (professionnels, romans, bd, …), … Je peux : - présenter vos produits ou nouveaux ouvrages (il suffit de me les envoyer) - écrire sur des sujets à la demande pour du référencement SEO - publier vos communiqués de presse - Publier vos AAPC - … Une question, une remarque : olivier@franol.fr

Laisser un commentaire

Articles similaires

Bouton retour en haut de la page