DOUBLEBACK

Par Mezo en Backdoors, Malware

Se traduisent par :

DOUBLEBACK est un malware sans fichier récemment découvert, déployé dans le cadre d'une campagne d'attaque qui a eu lieu en décembre 2020. Les acteurs menaçants responsables des opérations sont suivis comme UNC2529 par les chercheurs. Selon leurs conclusions, DOUBLEBACK est la charge utile finale livrée sur les systèmes compromis. Sa tâche est d'établir et de maintenir une porte dérobée sur la machine de la victime.

Pour accueillir un plus grand nombre de cibles, le malware DOUBLEBACK est livré sous forme de deux instances, et celle qui est exécutée dépend de l'architecture du système infecté - 32 ou 64 bits. La porte dérobée est chargée et injectée dans un processus PowerShell préparé par le logiciel malveillant de l'étape précédente, un compte-gouttes nommé DOUBLEDROP. Ensuite, la menace charge ses plugins et établit une boucle de communication. Il essaie d'atteindre ses serveurs Command-and-Control (C2, C&C), récupère toutes les commandes entrantes et les exécute.

La campagne d'attaque sophistiquée

À en juger par la structure et la portée de l'opération, l'UNC2529 semble avoir à la fois une expérience et un accès à des ressources importantes. Les acteurs de la menace ont ciblé des entités d'une multitude de secteurs verticaux tels que le médical, la fabrication militaire, l'automobile et l'électronique de haute technologie. Les victimes potentielles étaient également réparties dans plusieurs régions géographiques, notamment les États-Unis, la région EMEA (Europe, Moyen-Orient et Afrique), l'Asie et l'Australie.

Pour livrer la menace de stade initial appelée DOUBLEDRAG, les pirates se sont appuyés sur des e-mails de phishing qui modifiaient la conception pour correspondre à la cible particulière. Les e-mails ont été faits pour apparaître aussi légitimes que possible tout en conservant une façade d'être envoyés par un cadre comptable. Des liens corrompus conduiraient l'utilisateur ciblé vers un fichier .PDF associé à un fichier JavaScript. Les fichiers PDF seraient corrompus au point que leur contenu deviendrait illisible. L'utilisateur ciblé serait alors obligé d'exécuter le fichier .js pour tenter d'accéder au contenu, exécutant le téléchargeur DOUBLEDRAG dans le processus par inadvertance. Il convient de noter que seule la menace du téléchargeur vit dans le système de fichiers du périphérique compromis; toutes les autres menaces transmises ultérieurement sont sérialisées dans la base de données du registre.

Rechercher

Changer de région

DOUBLEBACK

Soumettre un Commentaire

Tendance

Safe Search Eng

MarioLocker Ransomware

MonWallPaper

Le plus regardé

Est-ce que Lookmovie.io est sûr ?

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran