Kaip pašalinti DOUBLEDRAG

„DOUBLEDRAG“ kenkėjiška programa pirmą kartą buvo pastebėta didelio masto atakų kampanijoje, nukreiptoje į įvairias pramonės šakas, išplitusias visame pasaulyje. Nors didžioji dalis išpuolių buvo sutelkta Jungtinėse Amerikos Valstijose, nežinomi operacijos nusikaltėliai taip pat sekė aukšto rango organizacijas Europoje, Afrikoje ir Viduriniuose Rytuose. Nėra pakankamai informacijos, kad susietumėte kampaniją „DOUBLEDRAG“ su vienu iš šiuo metu aktyvių „Pažangių nuolatinių grėsmių“ (APT) veikėjų - anoniminius nusikaltėlius tyrimo laboratorija, pirmiausia išsklaidžiusi jų operaciją, vadina UNC2529.

„DOUBLEDRAG“ atitinka atsisiuntėjo tikslą, kuris naudojamas kitoms atakose naudojamoms kenkėjiškoms programoms diegti - DOUBLEDROP ir DOUBLEBACK. „DOUBLEDRAG“ yra pirmojo etapo naudingoji apkrova, kurią reikia pristatyti, ir aukos ją paprastai gavo per sumaniai sukurtą el. Nusikaltėliai įsitikino, kad naudojo teisėtus, viešuosius PDF ir XLS failus, kurie buvo modifikuoti įtraukiant kenkėjišką kodo dalį. Jie taip pat sukūrė unikalius el. Pašto šablonus kiekvienai aukai, kad užtikrintų, jog gavėjas lengvai suklaidins fiktyvų pranešimą kaip teisėtą.

Atidarius DOUBLEDRAG suvarstytą dokumentą, jis įvykdys kenkėjišką scenarijų, kad būtų įdiegta grėsmė. Įdomu tai, kad DOUBLEDORP ir DOUBLEBACK kenkėjiškos programos veikia iš sistemos atminties, o DOUBLEDRAG palieka pėdsaką kietajame diske. „DOUBLEDRAG“ tikslas yra dislokuoti „DOUBLEDROP Dropper“, kuris tada nuslėptų ir paleistų „DOUBLEBACK Backdoor“.

Šis didžiausias šios kampanijos aktyvumas buvo užregistruotas 2020 m. Gruodžio viduryje, tačiau labai tikėtina, kad už jos esantys nusikaltėliai dirba kitoje savo didelio masto atakoje - kol kas nėra rodiklio, kokie galėtų būti jų tikslai, tačiau tikėtina, kad UNC2529 specializuojasi šnipinėjimo ir duomenų vagystės srityje.