DePriMon Il nuovo malware che attacca il driver di stampa predefinito di Windows

Un nuovo malware  dannoso soprannominato “DePriMon” si registra come falso driver di stampa predefinito di Windows per ottenere l’accesso ed eseguire comandi come utente SYSTEM.

Il malware DePriMon è risultato attivo almeno da marzo 2017, è stato rilevato per primo in una società privata con sede in Europa centrale. È un malware ben scritto e gli autori di malware utilizzano varie tecniche di crittografia che rendono l’analisi più difficile.

Secondo l’ analisi ESET , il malware è organizzato in più fasi, la prima fase e il metodo di distribuzione del malware rimangono sconosciuti.

Nella prima fase Il malware utilizza un percorso crittografato e codificato. La seconda fase del malware registra la DLL.

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\Windows Default Print Monitor

Driver = %PathToThirdStageDLL%