Nuevo kit de herramientas de ingeniería social Domen Toolkit

Investigaciones realizadas por Malwarebytes han descubierto un nuevo kit de herramientas de ingeniería social llamado Domen Toolkit que utiliza alertas falsas en el navegador y actualizaciones de programas en sitios comprometidos para infectar a los usuarios con malware y software de acceso remoto. Después de que un usuario de Internet visite un sitio web infectado con el kit de herramientas Domen, mostrará una variedad de alertas que superponen el contenido legítimo del sitio que solicitarán que instale una actualización de software 'requerida'. Esos mensajes de actualización de software se entregan con respecto a múltiples nombres de software y en 30 idiomas hasta ahora.

Una vez que haga clic en el botón que acepta la actualización de software, se descargará un archivo llamado “download[.]hta” en su dispositivo. Al ejecutarse, el archivo descargará una herramienta de acceso remoto del lado del cliente (“template[.]js”) en %Temp%\jscheck[.]exe. A diferencia de otros kit de herramientas, Domen permite que esta herramienta sea altamente personalizada. El pirata informático que lo utiliza puede elegir la payload de malware que desea enviar al dispositivo después de la infección. Por lo tanto, no todos los usuarios se infectaron con las mismas cepas después de caer en el mensaje de actualización falsa de Domen.

La herramienta de acceso remoto instalada por el archivo inicial (download[.]hta) se instalará automáticamente y se ejecutará después de la infección. Si está infectado con él, puede notarlo en la lista de procesos en curso, bajo el nombre de NetSupport Manager. Si encuentra este proceso, es porque se está ejecutando sin su conocimiento, entonces debe considerar que sus credenciales de inicio de sesión están comprometidas por el atacante. 

Se recomienda lo siguiente:

• Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
• Evitar instalar programas de sitios que no sean oficiales.
• Revisar los controles de seguridad de los AntiSpam y SandBoxing
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
• Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
• Tener activado el UAC (control de cuentas de usuario) de Windows.