DePriMon Malware sa registruje ako Windows Monitor tlače

malware

Škodlivý downloader, ktorý sa nazýva DePriMon, sa zaregistruje ako Windows tlačový monitor, aby ste získali vytrvalosť v počítačoch infikovaných používateľov.

Pri použití tejto metódy bude malvér mať oprávnenia SYSTEM, čo mu umožňuje vykonávať príkazy so zvýšenými oprávneniami, ako je napríklad stiahnutie ďalšieho malvéru.

Čo je Windows tlačový monitor

Monitor tlače je Windows DLL, ktorá sa zaregistruje v systéme ako tlačiareň, na ktorú môže užívateľ tlačiť. Táto tlačiareň môže vykonávať rôzne úlohy, ako napríklad tlač dokumentu a jeho automatické uloženie do PDF alebo tlač dokumentu do OneNote.

Po zaregistrovaní monitora tlače vytvorí podkľúč pod kľúčom HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Print Monitors. Tento podkľúč potom špecifikuje DLL, ktorá sa má načítať.

Registrovaný monitor tlače Adobe PDF Registrovaný monitor tlače Adobe PDF

Knižnice DLL zaregistrované ako tlačové monitory sa automaticky načítajú, keď Windows začína na Windows služba zaraďovača tlače alebo spoolsv.exe. Pretože táto služba beží s oprávneniami SYSTEM, poskytuje načítanej knižnici DLL rovnaké privilégiá.

To je dôvod, prečo je to zaujímavá a výkonná metóda, ktorá sa používa na pretrvávanie škodlivého softvéru, napríklad v prípade škodlivého softvéru DePriMon.

Pozrite sa na malware DePriMon

Teraz, keď chápeme, čo je tlačový monitor a prečo je to silný spôsob vytrvalosti pre vývojárov malwaru, pozrime sa na malware DePriMon.

objavené výskumníkmi spoločnosti ESETDePriMon je malware, ktorý pri načítaní potichu stiahne a spustí ďalší malware v počítači obete.

Podľa telemetrie spoločnosti ESET bol tento malware aktívny už od marca 2017.

„Podľa našej telemetrie je spoločnosť DePriMon aktívna minimálne od marca 2017. DePriMon bola odhalená v súkromnej spoločnosti so sídlom v strednej Európe a na desiatkach počítačov na Strednom východe.“

Hoci vedci nevedia, ako tento malware pôvodne infikuje obete, boli schopní tento malware preskúmať a zistiť, ako funguje.

Po inštalácii bude nakonfigurovaný ako tlačový monitor s názvom „Windows Predvolený ovládač tlačového monitora “a keď sa načíta, bude komunikovať so svojimi príkazovými a riadiacimi servermi pomocou šifrovania TLS.

Aby výskumníci mohli vykonávať analýzu, je konfiguračný súbor malvéru uložený v šifrovanom formáte v priečinku% Temp%. Keď ho malware potrebuje prečítať, dešifruje súbor, prečíta ho do pamäte a potom ho znova zašifruje.

Bohužiaľ, v tomto okamihu ESET nedokázal určiť konečnú užitočnú záťaž, ktorú poskytuje sťahovateľ DePriMon.

Poznamenali však, že tento malware bol odhalený u niektorých obetí spolu s malvérom ColoredLambert, ktorý používa skupina Lamberts APT.

„Je však potrebné poznamenať, že v niekoľkých prípadoch bol DePriMon detekovaný pomocou malwaru ColoredLambert na rovnakých počítačoch v krátkom časovom rámci. Skupinu ColoredLambert používa kybernetická špionážna skupina Lamberts (aka Longhorn) a je prepojená s trezorom 7 únik schopností CIA. Naši kolegovia z Symantec a Kaspersky zverejnili svoje analýzy v apríli 2017. “