我们追踪的一些最常见的网络威胁有社会工程组件。也许更受欢迎的是那些通过正如大家所知道的那样,或者是被黑客入侵的网站发布的虚假更新。

我们最近发现了一个网站妥协方案,这是我们以前从未见过的;这是使用社会工程在过去的几周里,这个工具包已经吸引了超过10万的访问。

我们称之为Domen的工具包是围绕一个详细的客户端脚本构建的,该脚本作为不同的虚假更新模板的框架,为桌面和移动用户定制了多达30种语言。

它以iframe的形式从受损网站(大多数网站运行WordPress)加载,并作为附加层显示在顶部,诱使受害者安装所谓的更新,而不是下载NetSupport远程管理工具。在这个博客中,我们描述了它的策略、技术和程序(TTP),它们让我们想起了过去和现在的一些社会工程活动。

假Flash播放器更新

这个前提看起来是我们以前遇到的许多其他社会工程工具包模板的典型。在这里,用户被诱骗下载并运行Flash Player更新:

图1:Fake Flash Player更新通知

请注意,域wheelslist[。]net属于一个合法的网站,该网站已经被黑客入侵,其中一个iframe来自chrom-update[。]是放置在正常页面之上的一层:

图2:在被破解的网站上发现的装载恶意iframe的模糊代码

点击UPDATE或LATER按钮下载一个名为“下载”的文件。hta ',索引在Atlassian的Bitbucket平台和托管在亚马逊服务器(bbuseruploads.s3.amazonaws.com):

图3:来自用户Garik的Bitbucket项目

在执行时,该HTA脚本将运行PowerShell并连接到xyxyxyxy[。以检索恶意软件有效负载。

图4:恶意mshta脚本从外部域检索负载

该有效负载是包含NetSupport RAT的包:

图5:显示执行流的过程树
图6:观察到的HTTP流量确认NetSupport鼠感染

链接“FakeUpdate”又名Sockholish

2018年末,我们记录了一次恶意重定向活动,我们称之为FakeUpdates,也称为Sockholish,基于从EmergingThreats规则集. 它利用受损网站,在交付有效负载(NetSupport RAT)之前,执行一些我们见过的最有创意的指纹检查。

我们最近注意到一个问题推特该报告通过受损网站Fistfulftalent[.]com报道了索克霍利什语,尽管沙箱报告显示了我们之前描述的相同模板,但不同于SocGholish的模板:

图7:与SocGholish错误关联的新主题

沙箱标记为Soggholish的原因是,受损站点包含与其相关的工件,并且在某些情况下确实重定向到它:

图8:SocGholish模板

这个被黑客攻击的网站实际上有两个不同的活动,根据一些浏览器和网络指纹,你可能会得到其中一个。这可以通过查看两个不同JavaScript片段中的注入代码来确认,第一个片段由EmergingThreats规则集标记。

图9:通过查看注入的JavaScript比较两个活动

虽然SocGholish和新活动的模板不同,但它们都是:

  • 偶尔能在同一个被攻击的主机上找到
  • 滥用或滥用云托管平台(Bitbucket,升降箱)
  • 下载一个假更新为Download .hta
  • 交付NetSupport老鼠

旁注:公开保存VirusTotal图(已保存屏幕截图)在这里)显示威胁行动者也在某些时候使用DropBox来托管netSupport RAT。他们对文件进行了双重压缩,先是压缩为zip,然后又压缩为rar。

与SocGholish的相似之处可能只是因为威胁行为者受到了以前所做事情的启发。然而,这两个模板交付相同的RAT病毒是值得注意的。

与EITest的链接

大约在我们回顾这条新的重定向链的同时,我们看到了另一条被@tkanalyst标记为FontPack,让人想起HoeflerText社会工程工具包由证明点报告2017年初。

图10:新的“FontPack”soc工程实施方案

回到我们之前收集的流量捕获,我们立即注意到相同的基础结构,包括一个JavaScript模板(template.js)和一个面板(。xyz域):

图11:Web流量显示了在假Flash Player主题中使用的相同工件

仔细看看template.js文件就会发现,除了负载URL和一些唯一标识符不同之外,它们实际上是相同的:

图12:Template.js是社交工程框架

Domen社会工程工具包

js文件是一个漂亮的作品,它超越了假字体或Flash Player主题。虽然我们最初在FontPack标签下检测到这个重定向片段,但我们决定根据在代码中找到的字符串,将这个社会工程框架称为Domen。

单个JavaScript文件根据浏览器、操作系统和语言环境控制各种模板。例如,相同的错误消息被翻译成30种不同的语言。

图13:基于操作系统语言的定制模板

一个名为“banner”的特定变量设置了社会工程主题的类型:Var banner = ' 2 ';// 1 -浏览器更新| 2 -字体| 3 - Flash

图14:基于操作员选择的定制模板

我们已经记录了Flash Player一,而字体(HoeflexText copycat)和它的一些变体(,火狐)。这是第三个,这是一个浏览器更新:

浏览器更新

图15:InternetExplorer模板
图16:Chrome模板
图17:Firefox模板
图18:边缘模板
图19:其他浏览器的模板

还有一个针对移动设备的模板(同样被翻译成30种语言),指导用户如何下载和运行(可能是恶意的)APK:

图20:关于如何为Android用户安装APK文件的说明

范围和统计数据

这场运动的范围尚不清楚,但在过去几周内相当活跃。每次用户访问已注入Domen toolkit的受损站点时,都会与托管在AsasasaSqwqq[.]xyz:

图20:template.js脚本中显示的面板连接

该页面将创建一个返回数字的GET请求:

图21:显示访问数量的网络流量

如果我们相信这些数字(随后的访问增加了1),这意味着这个活动在过去几周已经获得了超过10万的浏览量。

随着时间的推移,我们已经看到了许多不同的社会工程计划。在大多数情况下,它们是根据用户的地理位置和浏览器/操作系统类型动态提供的。这很常见,例如,在技术支持诈骗页面(browlocks)中,服务器将为每个受害者返回适当的模板。

Domen工具包的独特之处在于,它提供了相同的指纹识别(浏览器、语言)和模板选择,这多亏了一个客户端(template.js)脚本,每个威胁参与者都可以对其进行调整。此外,定制的广度也相当可观,因为它涵盖了大约30种不同语言的浏览器、桌面和移动设备。

保护

必威平台APPMalwarebytes用户已经受到了这场活动的保护,这多亏了我们的反攻击保护,在.hta攻击能够恢复其有效负载之前就已经阻止了它。

注意:我们与EmergingThreats的人员共享了一个流量捕获,他们创建了一组新的规则为它。

妥协的指标

Domen社会工程工具包主持人

chrom更新[.]在线

恶意的

bitbucket[.]org/execuseme1/1312/downloads/download.hta

NetSupport加载程序

xyxyxyxyxy[.]xyz/wwwqwe/11223344.exe
mnmnmn[.]club/qweeewwqe/112233.exe

面板

asasasaqwqq[.]xyz
sygicstyle。xyz
drumbaseuk。com

NetSupport老鼠

9 c69a1d81133bc9d87f28856245fbd95bd0853a3cfd92dc3ed485b395e5f1ba0
58585D7B8D0563611664DCCF79564EC1028AF6ABB8867526ACA714E1F8757D
b832dc81727832893d286decf50571cc740e8aead34badfdf1b05183d2127957