Un nuovo malware dannoso soprannominato “DePriMon” si registra come falso driver di stampa predefinito di Windows per ottenere l’accesso ed eseguire comandi come utente SYSTEM.
Il malware DePriMon è risultato attivo almeno da marzo 2017, è stato rilevato per primo in una società privata con sede in Europa centrale. È un malware ben scritto e gli autori di malware utilizzano varie tecniche di crittografia che rendono l’analisi più difficile.
Secondo l’ analisi ESET , il malware è organizzato in più fasi, la prima fase e il metodo di distribuzione del malware rimangono sconosciuti.
Nella prima fase Il malware utilizza un percorso crittografato e codificato. La seconda fase del malware registra la DLL.
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\Windows Default Print Monitor
Driver = %PathToThirdStageDLL%
