Domen
Os kits de engenharia social não são novidade no mundo dos malwares, com mais uma ferramenta entrando em campo com o Domen. A idéia básica por trás desse tipo de ameaça é comprometer um site, geralmente o WordPress, e depois usá-lo para exibir sobreposições carregadas com um iframe na tela. A sobreposição solicita aos visitantes que instalem uma atualização, algo que baixa o NetSupport RAT, (um Trojan de acesso remoto ou ferramenta de administração remota). É semelhante a outras ameaças, como a campanha Fake Updates, que apareceu em abril de 2018.
A campanha também possui algumas semelhanças com o esquema de engenharia social EITest e HoeflerText usado em 2017, quando a carga útil do malware era um malware de fraude de anúncios - Fleercivet. Mais tarde, esse malware foi visto espalhando o malware Spora.
A diferença entre esses e a nova campanha é principalmente em complexidade e no método de distribuição. As atualizações falsas usavam impressões digitais nos navegadores de suas vítimas. A nova campanha usa o uso completo dessa técnica para alterar as atualizações do Chrome, Flash Player ou de fonte em 30 idiomas diferentes. A sobreposição de atualização de fonte parece idêntica à usada no esquema HoeflerText dos últimos anos, com o cabeçalho 'A fonte' PT Sans 'não foi encontrada.'
A nova campanha foi apelidada de Domen, com o kit de ferramentas Domen se comunicando com um servidor remoto, que está hospedado no asasasqwqq[.]xyz no momento. Com base em dados extrapolados do site, os pesquisadores acreditam que já houve mais de 100.000 acessos e crescentes visitas de vítimas do kit de ferramentas Domen.
O Domen template.js é capaz de fornecer avisos de atualização do navegador para o Internet Explorer, Firefox, Edge e Chrome, além de instruções de instalação APK separadas para qualquer dispositivo Android. Cada um desses modelos existe em até 30 idiomas diferentes, todos baseados no tipo de tipo de navegador, sistema operacional, localidade e assim por diante. O tema usa um banner variável que seleciona um tema Fonte, Flash ou Atualização do navegador. Pode ser definido por cada ator de ameaça usando a ferramenta, entregue novamente em qualquer um dos 30 idiomas preparados.
As sobreposições do navegador são iguais em todas as versões, exceto o nome e o logotipo usados. O usuário é avisado sobre possíveis erros devido a 'mapeamento incorreto do site', 'perda de todos os dados armazenados e pessoais' e 'erros do navegador'. As mensagens também são editáveis alterando o modelo. Depois disso, uma mensagem informa 'Para corrigir erros e salvar seus dados, atualize seu navegador para a versão mais recente', com um botão de atualização à vista.
A sobreposição de atualização do Flash possui um botão 'mais tarde', bem como o botão de atualização, e assim como outras sobreposições nesse tipo de kits de engenharia social, este está hospedado em um servidor diferente, especificamente chrom-update[.]on-line neste caso . Clicar em um dos botões faz o download de um arquivo chamado 'download.hta' armazenado em uma plataforma Bitbucket e hospedado em um servidor Amazon - bbuseruploads.s3.amazonaws [.] Com.
O script HTA envolvido executa o PowerShell e se conecta ao domínio xyxyxyxyxy[.]xyz para extrair a carga útil do malware, nesse caso, um pacote que contém a legítima ferramenta de acesso remoto NetSupport, que é comumente usada em soluções de gerenciamento de sala de aula. A ferramenta foi usada pelas pessoas por trás de Domen para apoiar as suas operações, agindo assim como um Trojan.
