近日，一種名為“Domen”的新型黑客工具包被發現，它潛伏在被黑掉的合法網站上，通過展示虛假瀏覽器和應用軟件更新警報頁面來誘騙你點擊，進而使用惡意軟件和遠程訪問軟件來感染你的設備。

雖然攻擊者利用虛假瀏覽器和應用軟件更新警報來傳播惡意軟件并不是什么新鮮事，但是網絡安全公司Malwarebytes的研究人員Jerome Segura發現，Domen工具包具有高度的復雜性和可定制性，能夠適用于各種不同的瀏覽器和應用軟件客戶端。

支持30種語言，計算機、移動設備都適用

當你打開被黑掉的合法網站時，Domen工具包將用一個虛假更新警報頁面覆蓋原始的網站頁面。這些虛假警報旨在誘騙你下載并執行“更新程序”，進而使用攻擊者選定的惡意有效載荷來感染你的設備。

那么，這到底是如何實現的呢？原來，當你打開網站時，瀏覽器就會打開一個iframe（html標簽）到另一個網站——chrom-update.online。這個iframe包含一個大小約280 KB的腳本，名為“template.js”，它將被加載到瀏覽器中。

圖1.chrom-update.online iframe的內容

template.js是Domen工具包的主文件，包含了決定要顯示哪種類型警報的所有邏輯、將被阻止的用戶代理以及用于覆蓋的HTML和css。虛假更新覆蓋層中顯示的所有圖片都托管在imgur.com上，這使得該腳本的體積非常小。

下圖展示的是template.js文件的一部分，它決定了定將顯示哪種類型的警報。如注釋所示，該腳本可以顯示虛假的瀏覽器更新、虛假的Flash Player更新，以及虛假的字體警報，具體取決于“banner”變量的值。

圖2.Domen工具包的常規配置

舉例來說，如果將“banner”變量的值設置為“1”，那么將顯示一個虛假的瀏覽器更新警報，如下圖所示：

圖3.虛假谷歌Chrome更新

但如果將“banner”變量的值設置為“2”，那么則會顯示虛假的“PT Sans not found（找不到PT Sans字體）”警告，提示你下載并安裝PT Sans字體包。從外觀上看，頁面和EITest Chrome的HoeflerText字體更新提醒頁面非常相似：

圖4.虛假PT Sans字體更新提醒

最后，如果將“banner”變量的值設置為“3”，那么則會顯示虛假的Flash Player警報，提示你下載并安裝該程序的更新。

圖5.虛假Flash Player更新提醒

如上所述，除了可以顯示各種虛假覆蓋層之外，Domen工具包還支持30種不同的語言，且同時適用于計算機用戶和移動設備用戶。

圖6.Domen工具包的語言模板

傳播的遠程訪問軟件之一：NetSupport Manager

當你在下載這些虛假更新程序的同時，一個名為“download.hta”的文件也將隨之被下載。

執行時，download.hta文件將啟動一個PowerShell命令，以從遠程站點下載一個文件，將其保存到“％Temp％ _jscheck.exe”，然后執行它。

圖7.download.hta文件

執行時，NetSupport Manager將會被安裝，進而允許攻擊者遠程接管受感染的設備。具體來講，攻擊者將獲得包括屏幕截圖、執行任意命令以及上傳和下載文件的能力。

圖8.已安裝的NetSupport Manager客戶端

NetSupport Manager是一款以windows為中心的合法跨平臺遠程訪問軟件，允許用戶將運行Windows、mac、linux和Solaris操作系統的設備（或者運行IOS 和 Android操作系統的移動設備）作為單個控制臺，同時對其他多臺設備（可以是運行不同操作系統的設備）進行遠程屏幕控制和系統管理，但后來卻遭到了黑客的濫用。

壞消息是，網絡安全研究員 mol69發現，Domen工具包不僅傳播了NetSupport Manager，而且也傳播了Amadey、Raccon和Predator 木馬（全都是信息竊取類計算機病毒）。

圖9. 網絡安全研究員mol69發布的推文

不僅如此，在最近發現的一些惡意活動中，攻擊者還將template.js文件合并到了被黑網站使用的其他JAVAScript文件中，這使得它更加難以被檢測出來。

隨著越來越多使用Domen工具包的惡意活動被發現，Malwarebytes公司認為，我們應該會在接下來很長的一段時間里看到這款黑客工具包被廣泛使用。