Как удалить DOUBLEDRAG

Вредоносное ПО DOUBLEDRAG было впервые обнаружено в ходе крупномасштабной атакующей кампании, которая была нацелена на несколько отраслей по всему миру. Хотя большинство атак было сосредоточено в Соединенных Штатах, неизвестные преступники, стоящие за операцией, также преследовали громкие организации в Европе, Африке и на Ближнем Востоке. Недостаточно информации, чтобы связать кампанию DOUBLEDRAG с одним из активных в настоящее время участников Advanced Persistent Threat (APT) - анонимные преступники обычно называются UNC2529 в исследовательской лаборатории, которая впервые проанализировала их деятельность.

DOUBLEDRAG выполняет функцию загрузчика, который используется для развертывания других вредоносных программ, используемых в атаках - DOUBLEDROP и DOUBLEBACK. DOUBLEDRAG - это полезная нагрузка первого этапа, которую необходимо доставить, и жертвы обычно получали ее через искусно созданное адресное фишинговое письмо. Преступники старались использовать легитимные общедоступные файлы PDF и XLS, которые были изменены с целью включения вредоносного кода. Они также создали уникальные шаблоны электронной почты для каждой жертвы, чтобы получатель легко мог принять поддельное сообщение за законное.

Как только документ, зашитый DOUBLEDRAG, будет открыт, он выполнит вредоносный сценарий для развертывания угрозы. Интересно, что вредоносные программы DOUBLEDORP и DOUBLEBACK работают из системной памяти, в то время как DOUBLEDRAG оставляет след на жестком диске. Цель DOUBLEDRAG - развернуть DOUBLEDROP Dropper, который затем продолжит скрывать и запускать DOUBLEBACK Backdoor.

Этот пик активности этой кампании был зарегистрирован в середине декабря 2020 года, но весьма вероятно, что преступники, стоящие за ней, работают над своей следующей крупномасштабной атакой - пока нет индикатора того, какими могут быть их конечные цели, но вполне вероятно, что UNC2529 специализируется на шпионаже и краже данных.