Hur man tar bort DOUBLEDRAG

DOUBLEDRAG Malware sågs först i en storskalig attackkampanj, som riktade sig till flera branscher, spridd över hela världen. Medan majoriteten av attackerna koncentrerades till USA gick de okända brottslingarna bakom operationen också efter högt profilerade organisationer i Europa, Afrika och Mellanöstern. Det finns inte tillräckligt med information för att koppla ihop DOUBLEDRAG-kampanjen med en av de aktuella Advanced Persistent Threat-aktörerna (APT) - de anonyma förövarna kallas vanligen UNC2529 av forskningslaboratoriet som först dissekerade deras verksamhet.

DOUBLEDRAG uppfyller syftet med en nedladdare, som används för att distribuera annan skadlig kod som används i attackerna - DOUBLEDROP och DOUBLEBACK. DOUBLEDRAG är den första stegets nyttolast som ska levereras, och offren fick vanligtvis den via ett skickligt utformat spjutfiske-e-postmeddelande. Brottslingarna såg till att använda legitima, offentliga PDF- och XLS-filer som modifierades för att inkludera en skadlig kod. De skapade också unika e-postmallar för varje offer för att säkerställa att mottagaren lätt misstänker det falska meddelandet som ett legitimt.

När det DOUBLEDRAG-snörda dokumentet har öppnats skulle det skadliga skriptet köras för att distribuera hotet. Intressant nog fungerar DOUBLEDORP och DOUBLEBACK Malware från systemets minne, medan DOUBLEDRAG lämnar ett fotavtryck på hårddisken. DOUBLEDRAGs syfte är att distribuera DOUBLEDROP Dropper, som sedan fortsätter att dölja och köra DOUBLEBACK Backdoor.

Denna toppaktivitet i denna kampanj registrerades i mitten av december 2020, men det är mycket troligt att de brottslingar som står bakom det arbetar med sin nästa storskaliga attack - hittills finns det ingen indikator för vad deras slutmål kan vara, men det är troligt att UNC2529 är specialiserade på spionage och datastöld.