DOUBLEBACK

Por Mezo em Backdoors, Malware

Traduzir Para:

O DOUBLEBACK é um malware sem arquivo recém-descoberto, implantado como parte de uma campanha de ataque que ocorreu em dezembro de 2020. Os agentes de ameaça responsáveis pelas operações são rastreados como UNC2529 pelos pesquisadores. De acordo com suas descobertas, O DOUBLEBACK é a carga útil final entregue aos sistemas comprometidos. Sua tarefa é estabelecer e manter uma porta dos fundos na máquina da vítima.

Para acomodar um grupo maior de alvos, o malware DOUBLEBACK é entregue como duas instâncias, e a que é executada depende da arquitetura do sistema infectado - 32 ou 64 bits. O backdoor é carregado e injetado em um processo do PowerShell preparado pelo malware do estágio anterior, um dropper chamado DOUBLEDROP. Depois disso, a ameaça carrega seus plug-ins e estabelece um loop de comunicação. Ele tenta alcançar seus servidores de comando e controle (C2, C&C), buscar quaisquer comandos de entrada e executá-los.

A Sofisticada Campanha de Ataque

A julgar pela estrutura e escopo da operação, o UNC2529 parece ter experiência e acesso a recursos significativos. Os atores da ameaça visavam entidades de uma grande variedade de setores da indústria, como medicina, manufatura militar, automotiva e eletrônica de alta tecnologia. As vítimas potenciais também estavam espalhadas por várias regiões geográficas, incluindo os EUA, EMEA (Europa, Oriente Médio e África), Ásia e Austrália.

Para entregar a ameaça de estágio inicial chamada DOUBLEDRAG, os hackers confiaram em e-mails de phishing que mudavam de design para corresponder ao alvo específico. Os e-mails foram feitos para parecerem o mais legítimos possível, mantendo a fachada de terem sido enviados por um executivo de contabilidade. Links corrompidos levariam o usuário-alvo a um arquivo .PDF emparelhado com um arquivo JavaScript. Os PDFs seriam corrompidos a ponto de seu conteúdo se tornar ilegível. O usuário alvo seria então forçado a executar o arquivo .js em uma tentativa de acessar o conteúdo, executando o downloader DOUBLEDRAG no processo inadvertidamente. Deve-se observar que apenas a ameaça do downloader reside no sistema de arquivos do dispositivo comprometido; todas as outras ameaças entregues posteriormente são serializadas no banco de dados do Registro.

Buscar

Mudar de região

DOUBLEBACK

Enviar o Comentário

Tendendo

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela