Investigaciones realizadas por Malwarebytes han descubierto un nuevo kit de herramientas de ingeniería social llamado Domen Toolkit que utiliza alertas falsas en el navegador y actualizaciones de programas en sitios comprometidos para infectar a los usuarios con malware y software de acceso remoto. Después de que un usuario de Internet visite un sitio web infectado con el kit de herramientas Domen, mostrará una variedad de alertas que superponen el contenido legítimo del sitio que solicitarán que instale una actualización de software 'requerida'. Esos mensajes de actualización de software se entregan con respecto a múltiples nombres de software y en 30 idiomas hasta ahora.
Una vez que haga clic en el botón que acepta la actualización de software, se descargará un archivo llamado “download[.]hta” en su dispositivo. Al ejecutarse, el archivo descargará una herramienta de acceso remoto del lado del cliente (“template[.]js”) en %Temp%\jscheck[.]exe. A diferencia de otros kit de herramientas, Domen permite que esta herramienta sea altamente personalizada. El pirata informático que lo utiliza puede elegir la payload de malware que desea enviar al dispositivo después de la infección. Por lo tanto, no todos los usuarios se infectaron con las mismas cepas después de caer en el mensaje de actualización falsa de Domen.
La herramienta de acceso remoto instalada por el archivo inicial (download[.]hta) se instalará automáticamente y se ejecutará después de la infección. Si está infectado con él, puede notarlo en la lista de procesos en curso, bajo el nombre de NetSupport Manager. Si encuentra este proceso, es porque se está ejecutando sin su conocimiento, entonces debe considerar que sus credenciales de inicio de sesión están comprometidas por el atacante.
Se recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows |
7 8 8.1 10 |