Come rimuovere DOUBLEBACK

DOUBLEBACK è un pericoloso Trojan backdoor utilizzato e sviluppato da un attore di minacce non classificato, tracciato con l'alias UNC2529. I criminali sono stati coinvolti in una campagna di criminalità informatica su larga scala svoltasi nel dicembre 2020: i loro obiettivi includevano un lungo elenco di aziende e organizzazioni sparse in tutto il mondo. Tuttavia, la maggior parte dei loro attacchi era concentrata negli Stati Uniti e solo un piccolo numero di obiettivi era situato in Europa, Asia, Australia o Africa.

Il DOUBLEBACK è l'ultimo pezzo di una campagna di attacco in più fasi, che sfrutta tre famiglie di malware identificate di recente: il DOUBLEDRAG Downloader, il DOUBLEDROP Dropper e il DOUBLEBACK Backdoor che è l'argomento di questo post.

La particolarità di DOUBLEBACK è che è in grado di funzionare in modalità senza file, lasciando solo qualche traccia della sua attività nel registro di Windows. Ciò rende più difficile il lavoro dei ricercatori di malware e degli strumenti di analisi automatizzata del malware poiché hanno meno frammenti di malware con cui lavorare. Per fortuna, il software antivirus moderno è ancora in grado di rilevare e scoraggiare facilmente gli attacchi che coinvolgono malware senza file come DOUBLEBACK.

Il DOUBLEBACK è stato consegnato a reti mirate attraverso l'assistenza delle due famiglie di malware sopra menzionate. L'attacco è stato eseguito con l'ausilio di e-mail di phishing, che sollecitavano il destinatario a scaricare e rivedere un file allegato: di solito, i file venivano presi da archivi pubblici associati al settore del bersaglio, rendendo quindi meno probabile che sospettassero un gioco scorretto.

Non sono stati ancora raccolti dati sufficienti per determinare l'obiettivo finale dei criminali dietro il DOUBLEBACK. A giudicare dal tipo di malware che utilizzano, è probabile che la loro priorità sia il furto di dati e lo spionaggio.