Un nuevo ataque de phishing a nivel global genera malware nunca antes visto

Un actor de amenazas sofisticado y con recursos suficientes ha lanzado una campaña avanzada de phishing global con tres familias de malware nunca antes vistas. Se cree que el ataque afectó a más de 50 empresas en todo el mundo, que varían según la geografía y el tipo de industria. Si bien Estados Unidos aparece como el objetivo principal, EMEA, Asia y Australia también han experimentado compromisos.

Las tres cepas involucradas se han denominado Doubledrag, Doubledrop y Doubleback, respectivamente, ya que el malware en cuestión se basa en un descargador (Doubledrag) - o en una hoja de Excel con una macro incrustada-, un cuentagotas (Doubledrop) y una puerta trasera (Doubleback). 

Los correos electrónicos de suplantación de identidad que contienen este malware están dirigidos a las víctimas de forma eficaz. Las líneas de asunto están personalizadas e incluyen una mención falsa de la organización. Un enlace en el interior de estos e-mails envía a los usuarios una carga maliciosa dentro de la cual se encuentra un descargador de JavaScript. El código está "muy ofuscado", dificultando la labor de detección de los hackers. Una vez que el código comienza a ejecutarse, Doubledrag inicia la segunda fase del ataque, que involucra al gotero Doubledrop. Debido a un script de PowerShell, Doubledrop está igualmente tapado, y puede insertar fácilmente la puerta trasera por la que pasan los complementos que finalmente informarán a los controladores.

Lanzada inicialmente en diciembre de 2020, esta ola de phishing golpeó a las organizaciones en dos tandas. La primera ocurrió el 2 de diciembre de 2020, con un 74% de las víctimas de nacionalidad estadounidense; la segunda tuvo lugar entre el 11 y el 18 de diciembre de 2020, y el porcentaje de objetivos en los Estados Unidos fue del 70%.