Jak usunąć DOUBLEDRAG

Złośliwe oprogramowanie DOUBLEDRAG zostało po raz pierwszy zauważone w zakrojonej na szeroką skalę kampanii ataków, która była skierowana na wiele branż, rozsianych po całym świecie. Podczas gdy większość ataków koncentrowała się w Stanach Zjednoczonych, nieznani przestępcy stojący za operacją ścigali również znane organizacje w Europie, Afryce i na Bliskim Wschodzie. Nie ma wystarczających informacji, aby połączyć kampanię DOUBLEDRAG z jednym z obecnie aktywnych aktorów Advanced Persistent Threat (APT) - anonimowi sprawcy są powszechnie określani jako UNC2529 przez laboratorium badawcze, które jako pierwsze przeanalizowało ich działanie.

DOUBLEDRAG spełnia funkcję downloadera, który jest używany do wdrażania innego złośliwego oprogramowania wykorzystywanego w atakach - DOUBLEDROP i DOUBLEBACK. DOUBLEDRAG to ładunek pierwszego etapu, który ma zostać dostarczony, a ofiary zwykle otrzymywały go za pośrednictwem sprytnie spreparowanego e-maila spear-phishingowego. Przestępcy upewnili się, że używają legalnych, publicznych plików PDF i XLS, które zostały zmodyfikowane tak, aby zawierały złośliwy fragment kodu. Stworzyli również unikalne szablony e-maili dla każdej ofiary, aby mieć pewność, że odbiorca z łatwością pomyli fałszywą wiadomość z prawdziwą.

Po otwarciu dokumentu ze sznurkiem DOUBLEDRAG wykonywałby on złośliwy skrypt w celu rozmieszczenia zagrożenia. Co ciekawe, złośliwe oprogramowanie DOUBLEDORP i DOUBLEBACK działa z pamięci systemu, podczas gdy DOUBLEDRAG pozostawia ślad na dysku twardym. Celem DOUBLEDRAG jest wdrożenie DOUBLEDROP Droppera, który następnie zacznie ukrywać i uruchamiać Backdoor DOUBLEBACK.

Ta szczytowa aktywność tej kampanii została zarejestrowana w połowie grudnia 2020 r., Ale jest bardzo prawdopodobne, że stojący za nią przestępcy pracują nad kolejnym atakiem na dużą skalę - na razie nie ma żadnych wskazówek, jakie mogłyby być ich cele końcowe, ale prawdopodobne jest, że UNC2529 specjalizuje się w szpiegostwie i kradzieży danych.