Πώς να αφαιρέσετε το DOUBLEDRAG

Το κακόβουλο λογισμικό DOUBLEDRAG εντοπίστηκε για πρώτη φορά σε μια εκστρατεία επίθεσης μεγάλης κλίμακας, η οποία στόχευε πολλές βιομηχανίες, εξαπλωθεί σε ολόκληρο τον κόσμο. Ενώ η πλειονότητα των επιθέσεων ήταν συγκεντρωμένη στις Ηνωμένες Πολιτείες, οι άγνωστοι εγκληματίες πίσω από την επιχείρηση ακολουθούσαν επίσης υψηλού προφίλ οργανώσεις στην Ευρώπη, την Αφρική και τη Μέση Ανατολή. Δεν υπάρχουν αρκετές πληροφορίες για τη σύνδεση της καμπάνιας DOUBLEDRAG με έναν από τους ενεργούς ηθοποιούς Advanced Persistent Threat (APT).

Το DOUBLEDRAG εκπληρώνει το σκοπό ενός προγράμματος λήψης, το οποίο χρησιμοποιείται για την ανάπτυξη άλλων κακόβουλων προγραμμάτων που χρησιμοποιούνται στις επιθέσεις - DOUBLEDROP και DOUBLEBACK. Το DOUBLEDRAG είναι το ωφέλιμο φορτίο πρώτου σταδίου που παραδίδεται και τα θύματα συνήθως το έλαβαν μέσω ενός έξυπνου ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος. Οι εγκληματίες φρόντισαν να χρησιμοποιήσουν νόμιμα, δημόσια αρχεία PDF και XLS που τροποποιήθηκαν για να συμπεριλάβουν ένα κακόβουλο κομμάτι κώδικα. Επίσης, δημιούργησαν μοναδικά πρότυπα email για κάθε θύμα για να διασφαλίσουν ότι ο παραλήπτης θα κάνει λάθος εύκολα το ψεύτικο μήνυμα για ένα νόμιμο.

Μόλις ανοίξει το έγγραφο με δέσιμο DOUBLEDRAG, θα εκτελούσε το κακόβουλο σενάριο για την ανάπτυξη της απειλής. Αρκετά ενδιαφέρον, τα κακόβουλα προγράμματα DOUBLEDORP και DOUBLEBACK λειτουργούν από τη μνήμη του συστήματος, ενώ το DOUBLEDRAG αφήνει ένα αποτύπωμα στον σκληρό δίσκο. Ο σκοπός της DOUBLEDRAG είναι να αναπτύξει το DOUBLEDROP Dropper, το οποίο στη συνέχεια θα προχωρούσε στην απόκρυψη και την εκτέλεση του DOUBLEBACK Backdoor.

Αυτή η κορυφαία δραστηριότητα αυτής της καμπάνιας καταγράφηκε στα μέσα Δεκεμβρίου 2020, αλλά είναι πολύ πιθανό ότι οι εγκληματίες πίσω από αυτήν εργάζονται στην επόμενη μεγάλης κλίμακας επίθεση τους - μέχρι στιγμής, δεν υπάρχει καμία ένδειξη για τους τελικούς στόχους τους, είναι πιθανό ότι το UNC2529 ειδικεύεται στην κατασκοπεία και την κλοπή δεδομένων.