多门

社交工程工具包在恶意软件领域并不是什么新鲜事物，Domen推出了另一种工具。这种威胁背后的基本思想是破坏一个网站（通常是WordPress），然后使用它在屏幕上显示加载有iframe的覆盖图。该覆盖图要求访问者安装更新，该更新将下载NetSupport RAT（ 远程访问特洛伊木马或远程管理工具 ）。它类似于其他威胁，例如2018年4月左右弹出的``假更新''活动。

该活动还与2017年使用的EITest和HoeflerText社会工程计划有一些相似之处，当时恶意软件有效载荷是广告欺诈恶意软件– Fleercivet。后来发现该恶意软件正在传播Spora恶意软件。

这些与新广告系列之间的区别主要在于复杂性和分发方法。假更新在受害者的浏览器上使用了指纹。新的广告系列将充分利用该技术来浏览30种不同语言的Chrome，Flash Player或字体更新。字体更新覆盖看起来与几年前的HoeflerText方案中使用的覆盖相同，但带有标头"未找到'PT Sans'字体"。

新的活动被称为Domen，Domen工具包与远程服务器通信，该服务器目前位于asasasqwqq [。] xyz。根据网站推断的数据，研究人员认为，Domen工具包的受害者访问量已经超过100,000，并且还在不断增长。

Domen template.js能够向Internet Explorer，Firefox，Edge和Chrome发送浏览器更新通知，以及针对任何Android设备的单独APK安装说明。这些模板中的每一个都以多达30种不同的语言存在，所有这些语言均基于浏览器类型，操作系统，语言环境等类型。主题使用可变横幅，用于选择字体，Flash或浏览器更新主题。每个威胁参与者都可以使用该工具进行设置，然后再以准备的30种语言中的任何一种进行交付。

除了使用的名称和徽标外，所有版本的浏览器覆盖图均相同。警告用户注意由于"不正确的站点映射"，"所有存储的和个人数据的丢失"和"浏览器错误"引起的潜在错误。消息也可以通过更改模板进行编辑。之后，出现一条消息，指出"要修复错误并保存数据，将浏览器更新到最新版本"，并带有一个清晰可见的更新按钮。

Flash更新叠加层具有"稍后"按钮以及更新按钮，并且与这种社交工程工具包中的其他叠加层非常相似，该更新层托管在另一台服务器上，在这种情况下特别是chrom-update [。] online 。单击这两个按钮中的任何一个，都会下载一个名为" download.hta"的文件，该文件存储在Bitbucket平台上，并托管在Amazon服务器上– bbuseruploads.s3.amazonaws [。] com。

涉及的HTA脚本运行PowerShell，并连接到xyxyxyxyxy [。] xyz域以提取恶意软件有效负载，在本例中为包含合法NetSupport远程访问工具的程序包，该程序包通常在教室管理解决方案中使用。 Domen背后的人员已使用该工具来支持其操作，因此成为木马。