DOUBLEBACK

Por Mezo en Backdoors, Malware

Traducir a:

DOUBLEBACK es un malware sin archivos descubierto recientemente que se implementó como parte de una campaña de ataque que tuvo lugar en diciembre de 2020. Los investigadores rastrean a los actores de amenazas responsables de las operaciones como UNC2529. Según sus hallazgos, DOUBLEBACK es la carga útil final entregada a los sistemas comprometidos. Su tarea es establecer y mantener una puerta trasera en la máquina de la víctima.

Para adaptarse a un grupo más grande de objetivos, el malware DOUBLEBACK se entrega en dos instancias, y la que se ejecuta depende de la arquitectura del sistema infectado, ya sea de 32 o 64 bits. La puerta trasera se carga e inyecta en un proceso de PowerShell preparado por el malware de la etapa anterior, un cuentagotas llamado DOUBLEDROP. Posteriormente, la amenaza carga sus complementos y establece un bucle de comunicación. Intenta llegar a sus servidores Command-and-Control (C2, C&C), buscar los comandos entrantes y ejecutarlos.

La campaña de ataque sofisticado

A juzgar por la estructura y el alcance de la operación, UNC2529 parece tener tanto experiencia como acceso a recursos importantes. Los actores de la amenaza apuntaron a entidades de una multitud de industrias verticales como la medicina, la fabricación militar, la automoción y la electrónica de alta tecnología. Las víctimas potenciales también se distribuyeron en varias regiones geográficas, incluidos EE. UU., EMEA (Europa, Oriente Medio y África), Asia y Australia.

Para entregar la amenaza de etapa inicial denominada DOUBLEDRAG, los piratas informáticos se basaron en correos electrónicos de phishing que cambiaban los diseños para que coincidieran con el objetivo en particular. Se hizo que los correos electrónicos parecieran lo más legítimos posible mientras mantenían la fachada de ser enviados por un ejecutivo contable. Los enlaces dañados llevarían al usuario objetivo a un archivo .PDF emparejado con un archivo JavaScript. Los archivos PDF se corromperían hasta el punto de que su contenido se volvería ilegible. El usuario objetivo se vería obligado a ejecutar el archivo .js en un intento de llegar al contenido, ejecutando el descargador DOUBLEDRAG en el proceso de forma inadvertida. Cabe señalar que solo la amenaza del descargador vive en el sistema de archivos del dispositivo comprometido; todas las demás amenazas entregadas posteriormente se serializan en la base de datos del Registro.

Buscar

Cambia región

DOUBLEBACK

Enviar Comentario

Tendencias

Safe Search Eng

MarioLocker Ransomware

Mi papel tapiz

Mas Visto

¿Es Lookmovie.io seguro?

Cómo reparar el error 'El controlador de la...

Discord muestra una pantalla negra al compartir la...