又一社会工程工具包浮出水面。虽已使用多次,但其运用可谓手法新颖,被安全研究人员描述为 “精美的杰作”。
该社会工程攻击的基本操作是:入侵网站,通常是 WordPress,然后在其 viDomensitors 界面显示一个覆盖层(overlay:作为 iframe 加载)。该覆盖层引诱访问者安装更新,但此更新其实是去下载 NetSupport RAT(远程访问木马)。在这一点上, 该新型社会工程攻击活动与 2018 年 4 月曝出的 Fake Updates 攻击活动十分相似。
2017 年 1 月曝出的 EITest 和 HoeflerText 社会工程骗局也与之存在相似点。该实例中,恶意软件载荷是被称为 Fleercivet 的广告欺诈恶意软件;但后续观察中发现,该攻击也在传播 Spora 勒索软件。
新攻击活动与上述社会工程攻击不同的地方在于其分发机制的复杂性。Fake Updates 总是利用网站访问者浏览器上的数字指纹。新攻击活动则充分运用该数字指纹,根据浏览器数字指纹从 30 种不同语言中,挑选合适的语言投送 Chrome(或其他浏览器)、Flash Player 字体更新 (Font Update)。该 Font Update 覆盖层看起来与 HoeflerText 骗局中所用的完全相同,标题都是 “未发现 ‘PT Sans’ 字体”。
无论是早前的攻击活动启发了新的攻击者,还是同一批攻击者进化了攻击手法,Malwarebytes 的研究人员都认为这是新的攻击,并将之命名为 Domen。用户每次访问被黑网站,Domen 工具包都会与远程服务器(托管于 asasasqwqq[.]xyz)通信。根据网站上的记录数据,研究人员认为,该社会工程攻击活动在过去几周里收获了超过 10 万次浏览。
Domen 的 template.js 可以投送 IE、Chrome、Firefox、Edge 或其他通用浏览器更新通知,安卓设备还有单独的安卓安装包 (APK) 安装说明。这些更新通知和安装说明可根据浏览器数字指纹——浏览器类型、操作系统及区域设置,翻译成 30 种不同语言。主题则由 “旗标” (banner) 变量设置,可选 “浏览器更新” (Browser Update)、“字体” (Font) 或 Flash,而且可由具体攻击者自行设置,当然,语言选择依然是 30 种之多。
除了名称和相关标志,这些浏览器覆盖层几乎一模一样,版本号也是需要更新的老版本。每个案例中,用户都接到有关潜在错误的警告,包括站点地图错误、存储的个人数据丢失、浏览器错误等。警告内容可通过调整模板加以修改。然后用户会看到更新提示:“为修复错误并保存您的数据,请更新您的浏览器至最新版本”,旁边还有个更新按钮。
Flash 更新覆盖层包含 “稍后更新” 按钮和 “立即更新” 按钮。与其他覆盖层一样,该覆盖层也是由此社会工程工具包提供的,托管在 chrom-update[.]online 上。无论点击哪个按钮,都会开始下载名为 “download.hta” 的文件。该文件目前存放于 Atlassian 的 Bitbucket 平台,托管在亚马逊服务器上 (bbuseruploads.s3.amazonaws.com)。
该 HTA 脚本会运行 PowerShell 并连接 xyxyxyxyxy[.]xyz,以取回恶意软件载荷,也就是包含 NetSupport RAT 的软件包。NetSupport 是合法远程访问工具。其英国开发者将之描述为 “可无缝安全接入企业工作站及服务器的解决方案,无论是在办公室本地接入,还是出差时远程接入”,且桌面电脑、笔记本电脑、平板电脑和智能手机均可用。然而,一旦被恶意黑客秘密安装上,该工具也可摇身一变,成为十分趁手的木马程序。
虽然基本的社会工程方法并不新鲜,Domen 却将社会工程执行提升到了新的高度。
“
Domen 工具包与众不同的地方在于,既提供了同样的数字指纹(浏览器、语言),还通过可由具体攻击者自行调整的客户端脚本 (template.js) 提供了模板选择。另外,该工具包覆盖 30 种不同语言的桌面及移动浏览器,定制范围之广令人惊叹。
该攻击活动也反映出从使用漏洞利用工具包,向专注于利用社会工程方法诱使用户感染自身的迁移。随着自动更新浏览器的普及,漏洞利用工具包越来越不好用了。Malwarebytes 在 2019 年 8 月检测到了新的漏洞利用工具包,但评论道:最近出现了一种我们称之为伪漏洞利用工具包的趋势,黑客基本上就是抓个 IE 或 Flash Playe 漏洞的概念验证,然后建个非常简陋的页面加载之。这种可能描述为偷渡式下载攻击更为贴切,而非真正意义上的漏洞利用工具包。
Malwarebytes 的报告:
https://blog.malwarebytes.com/cybercrime/social-engineering-cybercrime/2019/09/new-social-engineering-toolkit-draws-inspiration-from-previous-web-campaigns/