Gli esperti di FireEye hanno rilevato un’imponente campagna di phishing contro numerose aziende che operano in vari settori e paesi. Gli attacchi sono stati eseguiti sfruttando tre differenti malware. I responsabili non sono noti, ma si tratta certamente di cybercriminali professionisti e con risorse economiche importanti, vista la complessiva dell’infrastruttura utilizzata.
Attacchi phishing con tre malware
La campagna di phishing è avvenuta in due ondate all’inizio e alla fine di dicembre 2020. I malintenzionati hanno utilizzato 26 indirizzi differenti per inviare email contenenti un link ad un file ZIP. All’interno del file compresso c’è un documento PDF in cui è nascosto il downloader JavaScript DOUBLEDRAG che rappresenta il primo stadio dell’infezione.
Dopo aver aperto il file PDF viene scaricato in memoria il dropper DOUBLEDROP (secondo stadio), uno script PowerShell che esegue la backdoor DOUBLEBACK (terzo stadio). Durante la seconda ondata della campagna, il file PDF è stato sostituito da un file Excel con macro che nasconde DOUBLEDRAG.
I cybercriminali hanno scelto come vittime diverse aziende operanti in svariati settori, la maggioranza delle quali sono negli Stati Uniti (ma molte sono anche in Europa, Africa, Medio Oriente, Asia e Australia). Gli attacchi hanno avuto più successo del solito perché i destinatari sono stati ingannati dai mittenti delle email di phishing, principalmente account dei dirigenti.
L’aspetto interessante del funzionamento è che nel file system del sistema operativo è rilevabile solo il downloader DOUBLEDRAG. Dropper e backdoor risiedono solo nella RAM, quindi un antivirus che analizza solo i file non troverà nulla. Secondo FireEye sono possibili altri attacchi in futuro.