多門

社交工程工具包在惡意軟件領域並不是什麼新鮮事物，Domen推出了另一種工具。這種威脅背後的基本思想是破壞一個網站（通常是WordPress），然後使用它在屏幕上顯示加載有iframe的覆蓋圖。該覆蓋圖要求訪問者安裝更新，該更新會下載NetSupport RAT（ 遠程訪問特洛伊木馬或遠程管理工具 ）。它類似於其他威脅，例如2018年4月左右彈出的``假更新''活動。

該活動還與2017年使用的EITest和HoeflerText社會工程計劃有一些相似之處，當時惡意軟件有效載荷是廣告欺詐惡意軟件– Fleercivet。後來發現該惡意軟件正在傳播Spora惡意軟件。

這些與新廣告系列之間的區別主要在於復雜性和分發方法。假更新在受害者的瀏覽器上使用了指紋。新的廣告系列將充分利用該技術來瀏覽30種不同語言的Chrome，Flash Player或字體更新。字體更新覆蓋看起來與幾年前的HoeflerText方案中使用的覆蓋相同，但帶有標頭"未找到'PT Sans'字體"。

新的活動被稱為Domen，Domen工具包與遠程服務器通信，該服務器目前位於asasasqwqq [。] xyz。根據網站推斷的數據，研究人員認為，Domen工具包的受害者訪問量已經超過10萬，並且還在不斷增長。

Domen template.js能夠向Internet Explorer，Firefox，Edge和Chrome發送瀏覽器更新通知，並為所有Android設備提供單獨的APK安裝說明。這些模板中的每一個都以多達30種不同的語言存在，所有這些語言均基於瀏覽器類型，操作系統，語言環境等類型。主題使用可變橫幅，用於選擇字體，Flash或瀏覽器更新主題。每個威脅參與者都可以使用該工具進行設置，然後再以準備的30種語言中的任何一種進行交付。

除了使用的名稱和徽標外，所有版本的瀏覽器覆蓋圖均相同。警告用戶注意由於"不正確的站點映射"，"所有存儲的和個人數據的丟失"和"瀏覽器錯誤"引起的潛在錯誤。消息也可以通過更改模板進行編輯。之後，出現一條消息，指出"要修復錯誤並保存數據，將瀏覽器更新到最新版本"，並帶有一個清晰可見的更新按鈕。

Flash更新疊加層具有"稍後"按鈕和更新按鈕，並且與此類社交工程工具包中的其他疊加層非常相似，該更新層託管在另一台服務器上，在這種情況下特別是chrom-update [。] online 。單擊這兩個按鈕中的任何一個，都會下載一個名為" download.hta"的文件，該文件存儲在Bitbucket平台上，並託管在Amazon服務器上– bbuseruploads.s3.amazonaws [。] com。

涉及的HTA腳本運行PowerShell，並連接到xyxyxyxyxy [。] xyz域以提取惡意軟件有效負載，在本例中為包含合法NetSupport遠程訪問工具的程序包，該程序包通常在教室管理解決方案中使用。 Domen背後的人員已使用該工具來支持其操作，因此成為木馬。