Hacker "Detour Dog" cria "fábrica de malware" com DNS para Strela Stealer

O mundo da cibersegurança está em alerta após a empresa Infoblox identificar um hacker conhecido como Detour Dog como o principal motor por trás de uma nova e sofisticada campanha de distribuição do infostealer Strela Stealer.

O modus operandi do Detour Dog revelado pela Infoblox é particularmente engenhoso: ele utiliza uma rede de malware alimentada por DNS (Domain Name System) para hospedar e entregar o primeiro estágio do ataque, um backdoor simples denominado StarFish.

A Infoblox, que monitora o Detour Dog desde agosto de 2023, descobriu que o invasor mantém o controle dos domínios que servem como ponto de partida para o Strela Stealer.

Embora o rastro do hacker remonte a fevereiro de 2020, o seu modus operandi evoluiu drasticamente. Inicialmente focado em redirecionar visitantes de sites WordPress comprometidos para golpes de publicidade e esquemas suspeitos (utilizando registros DNS TXT como canal de comunicação para um sistema de distribuição de tráfego, ou TDS), o malware do Detour Dog agora é capaz de "executar conteúdo remoto por meio do sistema de comando e controle (C2) baseado em DNS", segundo a Infoblox.

A infraestrutura controlada pelo Detour Dog tem sido usada para servir o StarFish, que funciona como um shell reverso simples, abrindo caminho para o Strela Stealer. O Strela Stealer é associado ao hacker Hive0145, uma entidade motivada financeiramente que opera ativamente desde pelo menos 2022 e que é frequentemente descrita como um corretor de acesso inicial (IAB) – vendendo acessos a sistemas comprometidos.

A análise da Infoblox revelou uma cadeia de ataque complexa, na qual o Detour Dog atua como um fornecedor de serviço de distribuição. Pelo menos 69% dos hosts de teste do StarFish estavam sob o controle direto do Detour Dog. Mensagens de spam que disseminam o Strela Stealer foram rastreadas até as botnets REM Proxy (alimentada pelo malware SystemBC) e Tofsee. Segundo a Dra. Renée Burton, vice-presidente de inteligência de ameaças da Infoblox, as botnets eram contratadas para enviar o spam, e o Detour Dog era contratado para hospedar e entregar o malware.

O hacker adquire sua infraestrutura explorando sites WordPress vulneráveis. O que torna o ataque difícil de detectar é que o site comprometido opera normalmente na maioria das vezes (90%), expondo os visitantes ao redirecionamento para golpes (9%) ou, em um cenário mais raro e crítico (1%), recebendo um comando para execução remota de arquivo. A restrição no volume de redirecionamentos é uma tática para evitar a detecção prolongada.

A nova e perigosa evolução do Detour Dog reside em sua capacidade de facilitar a distribuição do Strela Stealer por meio de registros DNS TXT. Os servidores de nomes sob o controle do invasor foram modificados para analisar consultas DNS formatadas de forma específica, enviadas pelos sites comprometidos, e responder a elas com comandos de execução remota de código.

Esta é a primeira vez que o Detour Dog é flagrado distribuindo malware, marcando uma transição de seus objetivos puramente de redirecionamento de tráfego para a Los Pollos, uma empresa de tecnologia de publicidade maliciosa sob o guarda-chuva VexTrio Viper. "Suspeitamos que eles evoluíram de golpes para a distribuição de malware por motivos financeiros," explicou Burton. Acredita-se que o aumento do foco da comunidade de segurança no combate aos golpes de redirecionamento tenha reduzido a rentabilidade do modelo anterior do hacker.

A sequência de ataque é sofisticada: a vítima abre um documento malicioso, que inicia uma solicitação DNS TXT a um servidor C2 do Detour Dog. O servidor de nomes responde com um registro TXT codificado em Base64, que explicitamente contém a palavra "down" seguida de uma URL do servidor C2 do Strela Stealer.

O site comprometido retira o prefixo e atua como um repetidor (retransmissor), buscando e enviando o downloader StarFish para a vítima. Esse ciclo se repete usando um segundo domínio comprometido para buscar o malware final.

A Infoblox classifica esta configuração como "inovadora", pois permite que o invasor esconda sua identidade atrás de vários sites comprometidos, tornando as operações mais resilientes e confundindo os caçadores de ameaças. A empresa agiu em conjunto com a Shadowserver Foundation para desativar dois domínios C2 do Detour Dog (webdmonitor[.]io e aeroarrows[.]io) em julho e agosto de 2025.

Via - THN