Desde finales de febrero de 2023 se han observado ataques con una nueva cepa de malware llamada "Domino", ataques que se presumen son llevados a cabo por ex-miembros Conti, la banda de alta especialización en ransomware, y FIN7, el conocido grupo de ciberdelincuentes.
Domino se caracteriza por su doble componente de ataque: una puerta trasera denominada "Domino Backdoor" y un "Domino Loader" que inyecta una DLL de malware en la memoria de otro proceso para robar información a organizaciones.
Los actores implicados
FIN7: desarrolladores del malware
Conocido como Carbanak e ITG14, este sindicato de ciberdelincuentes emplea programas maliciosos personalizados para desplegar otros programas dañinos y así ampliar sus métodos de monetización.
En análisis recientes realizados por Mandiant, SentinelOne y PRODAFT, este último propiedad de Google, han revelado el papel del grupo como precursor de los ataques del ransomware Maze y también de Ryuk, además de sus conexiones con otras familias de ransomware como Black Basta, DarkSide, REvil y LockBit.
La última ola de intrusiones de Domino, detectada por IBM Security X-Force hace dos meses, involucra el uso de Dave Loader, un crypter previamente atribuido al grupo Conti, para desplegar la puerta trasera de Domino.
Se sospecha que Domino tiene vínculos con FIN7 debido a que su código fuente presenta similitudes con DICELOADER (también conocido como Lizar o Tirion), una familia de malware de eficacia comprobada atribuida al grupo. Este malware tiene la capacidad de recopilar información sensible y recuperar cargas útiles cifradas de un servidor remoto.
Conti: distribución
El disuelto grupo Conti, al que han sido atribuidos grandes ataques de ransomware en diversos países, operaba como una empresa tecnológica. Tras su cierre, sus miembros se dividieron en facciones más pequeñas, pero igual de potentes dentro del universo del ransomware, las que incluyen a Play, Zeon, BlackBasta, Lockbit y a también al reciente ransomware Royal, el cual les contamos en nuestro blog dada su creciente amenaza.
Domino malware
El malware apodado Domino, está diseñado principalmente para facilitar la explotación de la filtración y robo de información, incluyendo la entrega de Project Nemesis, software ladrón de "proyectos" que busca obtener datos de navegadores y aplicaciones de los usuarios para obtener aún más información que sirva para explotar posteriormente.
Esta compleja red de actores maliciosos se convierte en un gran desafío para la ciberdefensa, ya que implica lidiar con múltiples amenazas simultáneamente.
El alcance de Domino
- Recopilación de datos de los navegadores Chromium (contraseñas, cookies, marcadores, historial).
- Recopilación de datos de los navegadores (cookies, contraseñas, historial).
- Recopilación de información del sistema en formato HTML.
- Sesiones de Telegram.
- Colección de fichas de Discord.
¿Cómo puedes mantener a salvo a tu organización?
Domino aprovecha las brechas de seguridad en DNS para infiltrarse en las organizaciones. Afortunadamente, los filtros DNS pueden ayudar a prevenir estos ataques. Al enviar datos robados a su servidor C&C a través de DNS, el malware utiliza puntos finales comprometidos. Sin embargo, la tecnología DNS predictiva puede ayudar a mantener los puntos finales empresariales seguros, incluso cuando los atacantes usan nuevos dominios maliciosos.
Asimismo, es importante invertir en un servicio que te apoye con la administración de la ciberseguridad de tu empresa a través de la entrega de monitoreo, detección y respuesta, ciberdefensa integral, ciberseguridad como servicio y gestión de la infraestructura de la ciberseguridad. Por otra parte, recomendamos de manera general, que evalúen soluciones de seguridad de filtrado de DNS, como DNS Filter.
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a fallas de día cero:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
- Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, de forma de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.
Fuentes
https://www.pcrisk.com/removal-guides/26503-domino-malware
https://duo.com/decipher/new-domino-malware-used-to-deliver-infostealers-cobalt-strike