Come rimuovere DOUBLEDRAG
Il malware DOUBLEDRAG è stato individuato per la prima volta in una campagna di attacco su larga scala, che ha preso di mira più settori, diffusi in tutto il mondo. Sebbene la maggior parte degli attacchi fosse concentrata negli Stati Uniti, i criminali sconosciuti dietro l'operazione hanno anche perseguito organizzazioni di alto profilo in Europa, Africa e Medio Oriente. Non ci sono informazioni sufficienti per collegare la campagna DOUBLEDRAG con uno degli attori della minaccia persistente avanzata (APT) attualmente attivi: gli autori anonimi sono comunemente indicati come UNC2529 dal laboratorio di ricerca che per primo ha sezionato la loro operazione.
DOUBLEDRAG soddisfa lo scopo di un downloader, che viene utilizzato per distribuire altro malware utilizzato negli attacchi: DOUBLEDROP e DOUBLEBACK. DOUBLEDRAG è il payload della prima fase da consegnare e le vittime di solito lo ricevevano tramite un'e-mail di spear phishing intelligente. I criminali si sono assicurati di utilizzare file PDF e XLS pubblici legittimi che sono stati modificati per includere un codice dannoso. Hanno anche creato modelli di e-mail unici per ogni vittima per garantire che il destinatario possa facilmente scambiare il messaggio fasullo per uno legittimo.
Una volta aperto il documento con lacci DOUBLEDRAG, eseguirà lo script dannoso per distribuire la minaccia. È interessante notare che DOUBLEDORP e DOUBLEBACK Malware funzionano dalla memoria del sistema, mentre DOUBLEDRAG lascia un'impronta sul disco rigido. Lo scopo di DOUBLEDRAG è quello di schierare il DOUBLEDROP Dropper, che poi procederà a nascondere ed eseguire il DOUBLEBACK Backdoor.
Questo picco di attività di questa campagna è stato registrato a metà dicembre 2020, ma è molto probabile che i criminali dietro di essa stiano lavorando al loro prossimo attacco su larga scala - finora, non ci sono indicatori di quali potrebbero essere i loro obiettivi finali, ma è probabile che UNC2529 sia specializzato in spionaggio e furto di dati.
