Image default
Security

Malware age como monitor de impressão para executar comandos com perfil SYSTEM

Um novo downloader malicioso apelidado de “DePriMon” se registra como um falso monitor da impressora padrão do Windows para obter persistência e executar comandos como um usuário SYSTEM.

O malware DePriMon foi detectado pela primeira vez em março de 2017 em uma empresa privada da Europa Central. Ele é um malware bem escrito, já que seus autores utilizaram várias técnicas de criptografia, tornando a análise mais difícil.

O malware DePriMon

De acordo com a análise da ESET, a atuação do malware possui várias etapas. O primeiro estágio e o método de distribuição do malware ainda são desconhecidos no momento.

O segundo estágio do malware carrega o terceiro estágio do downloader de malware utilizando um caminho codificado e criptografado. Este estágio carrega o arquivo dll do terceiro estágio, que atua como um monitor de portas (clique aqui para saber o que é um monitor de portas).

O monitor de portas é um arquivo dll que se registra com permissão de sistema, como uma impressora. Ele executa várias tarefas, como imprimir um documento ou salvar o arquivo PDF.

O segundo estágio registra o arquivo dll do terceiro estágio com a seguinte chave e valor no Registro:

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\Windows Default Print Monitor
Driver = %PathToThirdStageDLL%

O arquivo registrado e carregado pelo spoolsv.exe é executado com privilégios de sistema no momento de inicialização do sistema. O malware também verifica se o arquivo dll existente em %system32% é o mesmo do terceiro estágio.

O malware do terceiro estágio é responsável por baixar o payload dos servidores de C&C (Comando e Controle) dos operadores do DePriMon. A comunicação a seguir é estabelecida sob um canal seguro em SSL/TLS.

Para dificultar a análise, os autores do malware armazenam o arquivo de configuração de forma criptografada em uma pasta temporária.

Exemplo: %temp%\rb1us0wm99sslpa1vx.tmp

O DePriMon é baixado da memória e executado diretamente utilizando a carregamento do arquivo dll e nunca é armazenado em disco. É uma ferramenta poderosa e persistente, utilizada para baixar outros malwares.

Fonte:

Fonte da imagem utilizada na capa do post

https://www.csoonline.com/article/3295877/what-is-malware-viruses-worms-trojans-and-beyond.html

Posts similares

Cisco libera patch para corrigir vulnerabilidade Zero-Day divulgada pelo Wikileaks

O Analista

A NSA e a polêmica contratação de estudantes

O Analista

Não é mentira: Cloudflare disponibiliza para todos serviço de DNS rápido

O Analista