Como remover DOUBLEDRAG

O malware DOUBLEDRAG foi detectado pela primeira vez em uma campanha de ataque em grande escala, que teve como alvo vários setores, espalhados por todo o mundo. Embora a maioria dos ataques tenha se concentrado nos Estados Unidos, os criminosos desconhecidos por trás da operação também perseguiram organizações de alto perfil na Europa, África e Oriente Médio. Não há informações suficientes para conectar a campanha DOUBLEDRAG com um dos atores atualmente ativos da Advanced Persistent Threat (APT) - os perpetradores anônimos são comumente chamados de UNC2529 pelo laboratório de pesquisa que primeiro dissecou sua operação.

DOUBLEDRAG cumpre o propósito de um downloader, que está sendo usado para implantar outro malware usado nos ataques - DOUBLEDROP e DOUBLEBACK. O DOUBLEDRAG é a carga útil de primeiro estágio a ser entregue e as vítimas geralmente o recebiam por meio de um e-mail de spear-phishing habilmente elaborado. Os criminosos certificaram-se de usar arquivos PDF e XLS públicos legítimos que foram modificados para incluir um código malicioso. Eles também criaram modelos de e-mail exclusivos para cada vítima, a fim de garantir que o destinatário facilmente confunda a mensagem falsa com uma legítima.

Depois que o documento com DOUBLEDRAG é aberto, ele executa o script malicioso para implantar a ameaça. Curiosamente, o DOUBLEDORP e o DOUBLEBACK Malware operam a partir da memória do sistema, enquanto o DOUBLEDRAG deixa uma pegada no disco rígido. O objetivo do DOUBLEDRAG é implantar o DOUBLEDROP Dropper, que então passaria a ocultar e executar o DOUBLEBACK Backdoor.

Este pico de atividade desta campanha foi registrado em meados de dezembro de 2020, mas é muito provável que os criminosos por trás dela estejam trabalhando em seu próximo ataque em grande escala - até agora, não há nenhum indicador de quais poderiam ser seus objetivos finais, mas é provável que o UNC2529 seja especializado em espionagem e roubo de dados.