Jak usunąć DOUBLEBACK

DOUBLEBACK to niebezpieczny trojan z tylnym wejściem używany i rozwijany przez niesklasyfikowanego aktora zagrażającego, śledzonego pod aliasem UNC2529. Przestępcy byli zaangażowani w zakrojoną na szeroką skalę kampanię cyberprzestępczą, która miała miejsce w grudniu 2020 r. - ich celem była długa lista firm i organizacji rozsianych po całym świecie. Jednak większość ich ataków była skoncentrowana w Stanach Zjednoczonych, a tylko niewielka liczba celów znajdowała się w Europie, Azji, Australii lub Afryce.

DOUBLEBACK to ostatni element wieloetapowej kampanii ataku, która wykorzystuje trzy nowo zidentyfikowane rodziny szkodliwego oprogramowania - DOUBLEDRAG Downloader, DOUBLEDROP Dropper i DOUBLEBACK Backdoor, którego dotyczy ten post.

Cechą szczególną DOUBLEBACK jest to, że może działać w trybie bezplikowym, pozostawiając zaledwie kilka śladów swojej aktywności w rejestrze systemu Windows. Utrudnia to pracę badaczy złośliwego oprogramowania i narzędzi do automatycznej analizy złośliwego oprogramowania, ponieważ mają one mniej fragmentów złośliwego oprogramowania, z którymi mogą pracować. Na szczęście nowoczesne oprogramowanie antywirusowe nadal jest w stanie łatwo wykrywać i powstrzymywać ataki wykorzystujące bezplikowe złośliwe oprogramowanie, takie jak DOUBLEBACK.

DOUBLEBACK został dostarczony do docelowych sieci dzięki pomocy dwóch rodzin złośliwego oprogramowania wspomnianych powyżej. Atak został przeprowadzony za pomocą wiadomości phishingowych, które nakłaniały odbiorcę do pobrania i przejrzenia załącznika pliku - zwykle pliki były pobierane z repozytoriów publicznych powiązanych z branżą celu, co zmniejsza prawdopodobieństwo podejrzeń o nieuczciwą grę.

Nie zebrano jeszcze wystarczających danych, aby określić ostateczny cel przestępców stojących za DOUBLEBACK. Sądząc po rodzaju używanego przez siebie złośliwego oprogramowania, jest prawdopodobne, że ich priorytetem jest kradzież danych i szpiegostwo.