Comment supprimer DOUBLEDROP

Les groupes de cybercriminalité avancés s'appuient rarement sur une seule famille de logiciels malveillants pour mener leur attaque - généralement, ils développent un ensemble d'outils de piratage qui finiraient par se soutenir mutuellement pour assurer une attaque rapide, silencieuse et dangereuse. C'est le cas d'un trio d'échantillons de logiciels malveillants qui ont été repérés pour la première fois en décembre 2020 - DOUBLEDROP, DOUBLEBACK et DOUBLEDRAG.

Le sujet de discussion est DOUBLEDROP, qui a été utilisé comme charge utile d'étape secondaire conçue pour supprimer la porte dérobée DOUBLEBACK. En attendant, il s'appuie sur DOUBLEDRAG pour le déploiement initial - DOUBLEDRAG est le téléchargeur caché dans un document malveillant reçu par les cibles de cette campagne.

DOUBLEDROP est relativement ordinaire, mais il a une caractéristique qui se démarque par rapport aux compte-gouttes commerciaux: il ne crée pas de fichiers sur le disque dur, minimisant ainsi son encombrement. Il exécute toute l'opération en modifiant le registre Windows et en y cachant ses fonctions. Il abuse de la même technique pour accorder la persistance de sa charge utile (DOUBLEBACK).

Les cybercriminels, en particulier ceux qui sont à l'origine de campagnes comme celle-ci, expérimentent constamment de nouveaux types d'attaques, de trucs malveillants et de techniques de déploiement. Les utilisateurs et les administrateurs système doivent préparer leurs réseaux à relever ces défis en investissant dans des logiciels de sécurité réputés et en veillant à ce que les opérateurs informatiques suivent les meilleures pratiques de sécurité de navigation sécurisée.