Hvordan fjerne DOUBLEDRAG

DOUBLEDRAG Malware ble først oppdaget i en storstilt angrepskampanje, som var rettet mot flere bransjer, spredt over hele verden. Mens flertallet av angrepene var konsentrert i USA, gikk de ukjente kriminelle bak operasjonen også etter høyprofilerte organisasjoner i Europa, Afrika og Midtøsten. Det er ikke nok informasjon til å koble DOUBLEDRAG-kampanjen med en av de aktive aktørene Advanced Persistent Threat (APT) - de anonyme gjerningsmennene blir ofte referert til som UNC2529 av forskningslaboratoriet som først dissekerte driften.

DOUBLEDRAG oppfyller formålet med en nedlasting, som brukes til å distribuere annen skadelig programvare som brukes i angrepene - DOUBLEDROP og DOUBLEBACK. DOUBLEDRAG er den første trinns nyttelast som skal leveres, og ofre mottok den vanligvis via en smart utformet spydfiske-e-post. Kriminelle sørget for å bruke legitime, offentlige PDF- og XLS-filer som ble modifisert for å inneholde et ondsinnet stykke kode. De laget også unike e-postmaler for hvert offer for å sikre at mottakeren lett vil forveksle den falske meldingen som en legitim.

Når det DOUBLEDRAG-laced dokumentet er åpnet, vil det utføre det ondsinnede skriptet for å distribuere trusselen. Interessant nok fungerer DOUBLEDORP og DOUBLEBACK Malware fra systemets minne, mens DOUBLEDRAG etterlater et fotavtrykk på harddisken. DOUBLEDRAGs formål er å distribuere DOUBLEDROP Dropper, som deretter fortsetter å skjule og kjøre DOUBLEBACK Backdoor.

Denne toppaktiviteten til denne kampanjen ble registrert i midten av desember 2020, men det er veldig sannsynlig at kriminelle bak den jobber med sitt neste store angrep - så langt er det ingen indikator for hva deres endelige mål kan være, men det er sannsynlig at UNC2529 spesialiserer seg i spionasje og datatyveri.