El actor de amenaza llamado Detour Dog fue expulsado como una poderosa campaña para distribuir un acero de información conocido como Strela Stealer.
Esto es de acuerdo con los actores de hallazgo de InfloBlox para mantener el control sobre el dominio que alberga una puerta trasera llamada Staterfish, la primera etapa en Stealer.
La compañía de inteligencia de amenazas de DNS dijo que estaba rastreando Detour Dogs en agosto de 2023. Sucuri, propiedad de GoDaddy, reveló detalles del ataque dirigido a sitios de WordPress, incrusta Javascript malicioso utilizando registros de DNS TXT como un canal de comunicación para el sistema de entrega de tráfico (TDS), redirigiendo a los visitantes del sitio a los sitios sagrados y a Malwarw. Las huellas del actor amenazante se remontan a febrero de 2020.
«Tradicionalmente, estos redireccionamientos han llevado a las estafas, pero el malware ha evolucionado recientemente y ha ejecutado contenido remoto a través de sistemas de comando y control de comando (C2) basados en DNS», dijo Informlox. «Estamos rastreando a los actores de amenaza que controlan este malware como un perro de derivación».
Según la compañía, la infraestructura propiedad de Detour Dogs se usa para albergar raída humana, un caparazón inversa simple que actúa como un conducto para Strel Laurel. En un informe publicado en julio de 2025, IBM X-Force dijo que los archivos SVG maliciosos entregarán las puertas traseras con el objetivo de permitir el acceso permanente a las máquinas infectadas.
Desde al menos 2022, Hive0145, un actor de amenaza solo detrás de la campaña de Strela Stealer, ha sido calificado por motivación financiera, operando como un corredor de acceso temprano (IAB), obteniendo acceso a sistemas comprometidos y vendiéndolos.
Un análisis de Informlox reveló que al menos el 69% de los huéspedes confirmados de estadía de estrella de mar están bajo el control de los perros de desvío, y que Mikrotik Botnet, anunciado como proxy LEM, está impulsado por SystemBC, como lo revelan los laboratorios negros de Lumen de Lumen.
Específicamente, se ha revelado que los mensajes de correo electrónico de spam distribuidos a través de Strela Stealer se originaron en otra botnet llamado REM Proxy y TOFSEE, este último se propagó en el pasado a través de un cargador basado en C ++ llamado privateloader. En ambos casos, la infraestructura de perros de desvío organizó la primera fase del ataque.
«La botnet se firmó para entregar mensajes de spam, y los perros de desvío se firmaron para entregar malware», dijo a Hacker News, el Dr. Renée Burton, vicepresidente de inteligencia de amenazas de Inflox.
Además, los perros de desvío para promover la distribución de acero a través de registros DNS TXT se han modificado de modo que la amenaza y los servidores de nombres DNS controlados analizan las consultas DNS especialmente formateadas de sitios comprometidos y respondan con comandos de ejecución de código remoto.
Cuando se trata de obtener una nueva infraestructura, el truco del perro de desvío es aprovechar los sitios vulnerables de WordPress para realizar inyecciones de código malicioso, pero la compañía dice que la forma en que lo hace es continuar evolucionando.
Un aspecto notable del ataque es que los sitios web comprometidos generalmente funcionan el 90% del tiempo, por lo tanto, no elevar una bandera roja y permitir que el malware dure mucho tiempo. Sin embargo, en la instancia seleccionada (aproximadamente 9%), los visitantes del sitio serán redirigidos a estafadores a través de TDS de ayuda o TDS del gerente. En un escenario mucho más raro (1%), el sitio recibe un comando de ejecución de archivos remoto. Se cree que las redirecciones están restringidas en ofertas para evitar la detección.
Este desarrollo solo se marca cuando se descubre que los perros de desvío distribuyen malware. Esta es una transición de actuar como una entidad única responsable del tráfico a Los Pollos, una compañía de tecnología de publicidad maliciosa que opera bajo el paraguas Vextrio Viper.
«Creemos que evolucionó de fraude para incluir la distribución de malware por razones financieras», dijo Burton. «Ha habido un gran enfoque en la industria de la seguridad en los últimos 12-18 meses para detener los tipos de estafas que los perros han apoyado en el pasado. No podemos confirmar eso, pero creo que han ganado menos dinero».
Complementar estos cambios es el hecho de que el malware en los sitios web utilizados por Detour Dog ha sido testigo de su propia evolución y ha ganado la capacidad de ordenar sitios web infectados para ejecutar código de servidores remotos.
A partir de junio de 2025, la respuesta podría instruir a los sitios infectados para recuperar la salida del script PHP de un servidor Strela Stealer C2 validado, potencialmente dispersando malware.
«La respuesta a la consulta de registro de TXT está codificada Base64 e incluye explícitamente la palabra ‘Down’ para desencadenar esta nueva acción», dice la compañía. «Creemos que creamos un nuevo modelo de distribución de malware de red utilizando DNS donde se obtienen diferentes etapas de diferentes hosts bajo control de actores de amenaza y los usuarios se transmiten cuando interactúan con las tentaciones de la campaña, por ejemplo, archivos adjuntos de correo electrónico.
«Esta nueva configuración permite a los atacantes ocultar su identidad detrás del sitio web comprometido, lo que hace que la operación sea más resistente, y durante ese tiempo puede ayudar a engañar a los cazadores de amenazas, ya que el malware no es donde los archivos adjuntos analizados están alojados».
Toda la serie de acciones se desarrolla de la siguiente manera:
La víctima abre un documento malicioso y lanza un archivo SVG que llega al dominio infectado. El sitio comprometido envía solicitudes de registro TXT a través de DNS al servidor Detour Dog C2. El servidor de nombres elimina el sitio de minificación y usa Urishise. El descargador que envía el descargador al cliente (es decir, la víctima) inicia una llamada a otro dominio comprometido. El segundo dominio comprometido envía una consulta similar al DNS TXT al servidor Bypass Dog C2. Un dominio comprometido actúa como un relé para enviar malware al cliente (es decir, víctimas)
Informlox dijo el 30 de julio y el 6 de agosto de 2025, funcionará con la Fundación Shadowserver para hundir dos dominios de desvío C2 (WebDmonitor (.) IO y Aeroarrows (.) IO).
La compañía también señaló que es probable que los actores de amenaza actúen como un proveedor de distribución como un servicio (DAAS), y agregó que se ha encontrado evidencia de «archivos claramente no relacionados» propagados a través de la infraestructura. Sin embargo, señaló que «no pudimos verificar lo que se entregó».
Source link
