DOBLEDRAG

DOBLEDRAG Descripción

Los investigadores de malware han descubierto una sofisticada campaña de ataque dirigida a un grupo diverso de empresas de diferentes industrias verticales y una multitud de regiones diferentes. Según sus hallazgos, un actor de amenazas no identificado (registrado como UNC2529) lanzó dos oleadas de ataques distintas en diciembre de 2020. Entre las víctimas potenciales se encontraban entidades que operan en las industrias de fabricación médica, automotriz, electrónica y militar. Parece que la principal región a la que se dirigieron los piratas informáticos fue Estados Unidos, seguida de EMEA (Europa, Oriente Medio y África), algunas partes de Asia y Australia.

En la operación se utilizaron tres cepas de malware independientes nunca antes vistas denominadas DOUBLEDRAG, DOUBLEDROP y DOUBLEBACK, cada una de las cuales realiza una tarea distinta en la cadena de ataque. Como vector de compromiso inicial, el actor de amenazas se basó en correos electrónicos de phishing que se adaptaron para coincidir con cada organización objetivo. En general, los piratas informáticos pretendían ser ejecutivos contables que ofrecían servicios adecuados para una variedad de diferentes sectores industriales. Los correos electrónicos atrayentes lanzaron la primera amenaza de malware en la cadena de ataque: un descargador llamado DOUBLEDRAG.

El descargador de DOUBLEDRAG

DOUBLEDRAG es la única de las tres cepas de malware implementadas por los piratas informáticos UNC2529 que no carece de archivos. Está oculto dentro de archivos JavaScript muy ofuscados o documentos de Excel con macros incrustadas. Los archivos .js se emparejaron con documentos .PDF muy dañados. Se cree que el objetivo era llevar a los usuarios frustrados a ejecutar archivos JavaScript maliciosos en un intento de leer el contenido codificado de los PDF.

El malware DOUBLEDRAG no está equipado con capacidades extrañas. Es una amenaza optimizada diseñada para un propósito singular: buscar e iniciar la carga útil de la siguiente etapa, el gotero DOUBLEDROP.

Los investigadores de Mandiant afirman que el análisis de la campaña UNC2529 y las cepas de malware involucradas en ella aún está en curso. Los piratas informáticos implementaron técnicas significativas de ofuscación y en memoria para hacer que cualquier intento de analizar las herramientas amenazantes sea mucho más difícil.