Malware DePriMon se registra como un monitor de impresión de Windows

Los investigadores de ESET han descubierto un nuevo Malware llamado DePriMon, que utiliza la técnica de persistencia "Port Monitors", definida por MITRE ATT&CK, registrándose como un monitor de impresión de Windows en las computadoras de usuarios afectados. DePriMon es un malware que, cuando se carga, descarga y ejecuta silenciosamente más malware en la computadora de la víctima, recopilando información básica sobre el sistema y su usuario en el camino.

Un monitor de impresión es una DLL de Windows que se registra en el sistema como una impresora en la que un usuario puede imprimir cualquier tipo de documento. Cuando esté instalado, se configurará como "Controlador de monitor de impresión predeterminado de Windows" y cuando se cargue se comunicará con sus servidores de Command and Control (C&C) mediante el cifrado TLS, sin embargo, no en un nivel alto como es un escenario típico en malware.

Según la telemetría de ESET, DePriMon ha estado activo desde al menos marzo de 2017, fue detectado en una empresa privada, con sede en Europa Central, y en docenas de computadoras en el Medio Oriente. Aun así, merece una atención más allá de la distribución geográfica de sus objetivos iniciales ya que es un malware cuidadosamente escrito, con una gran cantidad de cifrado que se utiliza correctamente.

Se recomienda lo siguiente:

• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
• Evitar instalar programas de sitios que no sean oficiales.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
• Tener activado el UAC (control de cuentas de usuario) de Windows.