DOUBLEDRAG

Descrição do DOUBLEDRAG

Uma sofisticada campanha de ataque que teve como alvo um grupo diversificado de empresas de diferentes setores da indústria e uma infinidade de regiões diferentes, foi descoberta pelos pesquisadores de malware. De acordo com suas descobertas, um ator de ameaça não identificado (rastreado como UNC2529) lançou duas ondas de ataque distintas em dezembro de 2020. Entre as vítimas em potencial estavam entidades que operam nos setores de manufatura médica, automotiva, eletrônica e militar. Parece que a principal região visada pelos hackers foram os EUA, seguidos pela EMEA (Europa, Oriente Médio e África), algumas partes da Ásia e Austrália.

Três tipos de malware nunca antes vistos separadas, denominadas DOUBLEDRAG, DOUBLEDROP e DOUBLEBACK foram usadas na operação, cada uma realizando uma tarefa distinta na cadeia de ataque. Como um vetor de comprometimento inicial, o agente da ameaça confiava em e-mails de phishing adaptados para corresponder a cada organização visada. Em geral, os hackers fingiram ser executivos contadores oferecendo serviços adequados para diveersos setores da indústria. Os e-mails atraentes eliminaram a primeira ameaça de malware na cadeia de ataque - um downloader chamado DOUBLEDRAG.

O Downloader DOUBLEDRAG

O DOUBLEDRAG é o único dos três tipos de malware implantados pelos hackers UNC2529 que não está sem arquivo. Ele está oculto em arquivos JavaScript fortemente ofuscados ou em documentos do Excel com macros incorporadas. Os arquivos .js foram emparelhados com documentos .PDF altamente corrompidos. Acredita-se que o objetivo era levar os usuários frustrados a executar os arquivos JavaScript maliciosos na tentativa de ler o conteúdo embaralhado dos PDFs.

O malware DOUBLEDRAG não está equipado com recursos estranhos. É uma ameaça simplificada projetada para um propósito único - buscar e iniciar a carga útil do próximo estágio, o conta-gotas DOUBLEDROP.

Os pesquisadores da Mandiant afirmam que a análise da campanha UNC2529 e os tipos de malware envolvidos nela ainda estão em andamento. Os hackers implementaram técnicas significativas de ofuscação e in-memory para tornar muito mais difícil qualquer tentativa de analisar as ferramentas maliciosas.