Исследователи обнаружили 3 новых семейства малвари, которые использовались в фишинговой кампании.
Штаммы вредоносных программ Doubledrag, Doubledrop и Doubleback обнаружили в декабре 2020 года. Считается, что за малварью стоят хакеры UNC2529.
Злоумышленники отправляли потенциальным жертвам электронные сообщения с разных адресов, темы также подбирались под цель. Иногда они представлялись менеджерами по работе с клиентами и рекламировали услуги для разных отраслей.
В схеме использовали более 50 доменов. В ходе одной из атак UNC2529 удалось успешно скомпрометировать домен, принадлежащий компании, которая поставляет услугу по отоплению и охлаждению в США. Они подделали записи DNS. Потом использовали эту структуру, чтобы атаковать еще 22 компании.
Сообщения содержали ссылки на скачивание .PDF и файла JavaScript, который содержал архив .zip. Документы были нечитаемыми – это сделали с расчетом на то, что жертвы в раздражении несколько раз кликнут на файл .js, пытаясь прочитать содержимое.
Исследователи сообщают, что файл .js содержал загрузчик Doubledrag. В качестве второй стадии атаки Doubledrag пытается скачать дроппер Doubledrop, который загружает бэкдор Doubleback – это финальная стадия атаки.
Анализ новых штаммов малвари продолжается.
