Hogyan lehet eltávolítani DOUBLEDRAG
A DOUBLEDRAG rosszindulatú programot először egy nagyszabású támadási kampányban fedezték fel, amely több iparágat célzott meg az egész világon. Míg a támadások többsége az Egyesült Államokban összpontosult, a művelet mögött álló ismeretlen bűnözők Európában, Afrikában és a Közel-Keleten is kiemelkedő jelentőségű szervezeteket követtek. Nincs elég információ ahhoz, hogy a DOUBLEDRAG kampány összekapcsolódjon a jelenleg aktív Advanced Persistent Threat (APT) egyik szereplőjével - az anonim elkövetőket általában a működésüket először boncoló kutató labor UNC2529 néven emlegeti.
A DOUBLEDRAG eleget tesz egy letöltő alkalmazásnak, amelyet a támadások során használt egyéb rosszindulatú programok - DOUBLEDROP és DOUBLEBACK - telepítésére használnak. A DOUBLEDRAG az első lépcsőben szállítandó teher, amelyet az áldozatok általában ügyesen kidolgozott lándzsa-adathalász e-mailben kaptak. A bűnözők mindenképpen törvényes, nyilvános PDF és XLS fájlokat használtak, amelyeket rosszindulatú kódrészletre módosítottak. Különleges e-mail sablonokat is készítettek minden áldozat számára annak biztosítására, hogy a címzett könnyen tévessze a hamis üzenetet egy legitimre.
A DOUBLEDRAG fűzős dokumentum megnyitása után végrehajtja a rosszindulatú parancsfájlt a fenyegetés telepítéséhez. Érdekes módon a DOUBLEDORP és a DOUBLEBACK Malware a rendszer memóriájából működik, míg a DOUBLEDRAG nyomot hagy a merevlemezen. A DOUBLEDRAG célja a DOUBLEDROP Dropper telepítése, amely ezt követően elrejtené és futtatná a DOUBLEBACK Backdoor programot.
Ennek a kampánynak a csúcsaktivitását 2020 decemberének közepén regisztrálták, de nagyon valószínű, hogy a mögötte álló bűnözők a következő nagyszabású támadásukon dolgoznak - egyelőre nincs jelzés arra, hogy mi lehet a végcéljuk, de valószínűleg az UNC2529 a kémkedésre és az adatlopásra szakosodott.