Kit de herramientas Domen vuelven con una elaborada campaña de Ingeniería social

Los investigadores Malwarebytes LABS han detectado una nueva campaña de Ingeniería Social que estaría utilizando el kit de herramientas “Domen”. 

Domen fue descubierto y documentado por Malwarebytes LABS en septiembre del 2019. Consiste en un conjunto o un kit de herramientas especialmente diseñadas para realizar campañas de ingeniería social, que hasta la fecha, solo se habían evidenciado de manera esporádica. 

La criticidad de esta nueva campaña está en la complejidad y profesionalismo de los códigos y los detalles del engaño para que las víctimas caigan en la trampa, por lo que se podría asociar a un grupo de ciber actores con grandes destrezas con una motivación financiera. A la fecha, el flujo evidenciado buscan engañar a las víctimas para realizar visitas a sitios web comprometidos, posteriormente instala un malware disfrazado de alguna actualizacion o alguna fuente faltante, dejando así una carga útil, que se transforma en una cadena de infección en el equipo a través del malware Smoke Loader que a su vez distribuye varias cargas útiles secundarias, incluido el cryptominer intelRapid, el ransomware Buran y el infostealer Vidar.

Los vectores de ciberataque son cada vez más sofisticados y complejos, potenciados por una tendencia al uso frecuente de la ingeniería social para conseguir llegar a sus víctimas. Por este motivo, con el propósito de reducir riesgos y garantizar un mayor grado de protección es necesario activar de forma iterativa campañas de concienciación en sus colaboradores respecto a la ingeniería social.

Se recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores.
• La concientización a los usuarios haciendo hincapié que sean cautelosos cuando se les presentan mensajes de correo electrónico y archivos adjuntos con temática contingente, así como enlaces y sitios web que los delincuentes podrían utilizar como señuelos y la existencia de ataques concentrados los días viernes PM y fin de semana cuando la seguridad de las ciberoperaciones disminuye
• Asegúrese de que el software antivirus y los archivos asociados estén actualizados.
• Busque signos existentes de los IOC indicados en su entorno.
• Considere bloquear y configurar la detección de todos los IoC basadas en URL e IP.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Evitar la ejecución de documentos de origen desconocido.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.