DOUBLEBACK

Entro Mezo nel Backdoors, Malware

Traduci in:

DOUBLEBACK è un malware senza file scoperto di recente, implementato come parte di una campagna di attacco che ha avuto luogo nel dicembre 2020. Gli attori delle minacce responsabili delle operazioni sono monitorati come UNC2529 dai ricercatori. Secondo i loro risultati, DOUBLEBACK è il carico utile finale consegnato ai sistemi compromessi. Il suo compito è stabilire e mantenere una backdoor sulla macchina della vittima.

Per accogliere un pool più ampio di obiettivi, il malware DOUBLEBACK viene fornito come due istanze e quella che viene eseguita dipende dall'architettura del sistema infetto, a 32 o 64 bit. La backdoor viene caricata e iniettata in un processo PowerShell preparato dal malware della fase precedente, un contagocce denominato DOUBLEDROP. Successivamente, la minaccia carica i suoi plugin e stabilisce un ciclo di comunicazione. Cerca di raggiungere i suoi server Command-and-Control (C2, C&C), recuperare tutti i comandi in arrivo ed eseguirli.

La campagna d'attacco sofisticata

A giudicare dalla struttura e dall'ambito dell'operazione, l'UNC2529 sembra avere sia esperienza che accesso a risorse significative. Gli attori della minaccia hanno preso di mira entità di una moltitudine di settori verticali come la medicina, la produzione militare, l'automotive e l'elettronica high-tech. Le potenziali vittime erano anche distribuite in diverse regioni geografiche tra cui Stati Uniti, EMEA (Europa, Medio Oriente e Africa), Asia e Australia.

Per fornire la minaccia della fase iniziale denominata DOUBLEDRAG, gli hacker si sono affidati a e-mail di phishing che hanno modificato il design per adattarsi al particolare obiettivo. Le e-mail sono state fatte per apparire il più legittime possibile mentre sostenevano la facciata di essere inviate da un dirigente contabile. I collegamenti danneggiati porterebbero l'utente mirato a un file .PDF associato a un file JavaScript. I PDF verrebbero corrotti al punto che i loro contenuti diventerebbero illeggibili. L'utente mirato sarebbe quindi costretto a eseguire il file .js nel tentativo di raggiungere il contenuto, eseguendo inavvertitamente il downloader DOUBLEDRAG nel processo. Va notato che solo la minaccia del downloader risiede nel file system del dispositivo compromesso; tutte le altre minacce fornite successivamente vengono serializzate nel database del registro.

Ricerca

Cambia regione

DOUBLEBACK

Invia commento

Tendenza

Safe Search Eng

MarioLocker Ransomware

Il mio sfondo

I più visti

Lookmovie.io è sicuro?

Come correggere l'errore "Driver della stampante non...

Discord mostra lo schermo nero durante la...