Исследователи обнаружили 3 новых семейства малвари

Исследователи обнаружили 3 новых семейства малвари, которые использовались в фишинговой кампании.

Штаммы вредоносных программ Doubledrag, Doubledrop и Doubleback обнаружили в декабре 2020 года. Считается, что за малварью стоят хакеры UNC2529.

Злоумышленники отправляли потенциальным жертвам электронные сообщения с разных адресов, темы также подбирались под цель. Иногда они представлялись менеджерами по работе с клиентами и рекламировали услуги для разных отраслей.

В схеме использовали более 50 доменов. В ходе одной из атак UNC2529 удалось успешно скомпрометировать домен, принадлежащий компании, которая поставляет услугу по отоплению и охлаждению в США. Они подделали записи DNS. Потом использовали эту структуру, чтобы атаковать еще 22 компании.

Сообщения содержали ссылки на скачивание .PDF и файла JavaScript, который содержал архив .zip. Документы были нечитаемыми – это сделали с расчетом на то, что жертвы в раздражении несколько раз кликнут на файл .js, пытаясь прочитать содержимое.

Исследователи сообщают, что файл .js содержал загрузчик Doubledrag. В качестве второй стадии атаки Doubledrag пытается скачать дроппер Doubledrop, который загружает бэкдор Doubleback – это финальная стадия атаки.

Анализ новых штаммов малвари продолжается.