Nel panorama delle minacce informatiche più recenti emerge la figura di Detour Dog, un attore malevolo che ha rivoluzionato la distribuzione di malware sfruttando i DNS e sofisticati sistemi botnet. Secondo le ricerche di Infoblox, Detour Dog gestisce infrastrutture dedicate a campagne di diffusione del malware Strela Stealer, utilizzando come primo stadio la backdoor StarFish. L’indagine ha evidenziato che almeno il 69% degli host di staging di StarFish è controllato direttamente da questa minaccia, attiva dal 2020 e in continua evoluzione.

Uso innovativo dei DNS TXT

Detour Dog si è distinto per l’uso innovativo dei record DNS TXT come canale di comunicazione per la distribuzione di codice dannoso. Attraverso questa tecnica, i server DNS sotto il suo controllo sono in grado di interpretare query DNS appositamente formattate provenienti da siti compromessi e rispondere con comandi di esecuzione remota, rendendo difficile l’individuazione e il blocco delle attività malevole. Questo modello permette di nascondere le operazioni dietro siti violati, garantendo resilienza e ostacolando le indagini dei ricercatori di sicurezza.

Catena di attacco e resilienza

La catena di attacco inizia con l’invio di email di spam tramite botnet come REM Proxy e Tofsee, che veicolano allegati dannosi. Una volta aperto il documento infetto, viene eseguito un file SVG che comunica con un dominio compromesso. Questo sito, apparentemente innocuo per la maggior parte dei visitatori, invia una richiesta DNS TXT al server C2 di Detour Dog. In risposta, riceve un comando codificato che lo istruisce a scaricare e inoltrare il malware Strela Stealer all’utente finale. Questo processo può ripetersi su più domini compromessi, aumentando la complessità e la resilienza dell’attacco.

Un elemento chiave della strategia di Detour Dog è la limitazione delle redirezioni e delle esecuzioni remote, così da ridurre la probabilità di essere scoperti: il sito infetto si comporta normalmente nel 90% dei casi, mentre solo una piccola percentuale di utenti viene effettivamente colpita. Questo dettaglio fa pensare a una precisa strategia di evasione.

Acquisizione delle infrastrutture e motivazioni

La metodologia di acquisizione delle infrastrutture da parte di Detour Dog si basa sull’exploit di vulnerabilità note nei siti WordPress, tramite iniezioni di codice malevolo e backdoor. Negli ultimi tempi, il gruppo ha evoluto la propria attività da semplice reindirizzamento verso scam a vera e propria distribuzione di malware, probabilmente per motivi economici legati a un calo dei profitti delle frodi tradizionali.

Infoblox, in collaborazione con Shadowserver Foundation, è riuscita a neutralizzare alcuni domini C2 utilizzati da Detour Dog, ma il modello di distribuzione malware via DNS resta una minaccia avanzata da monitorare. La capacità di sfruttare i DNS come canale di comunicazione e distribuzione, infatti, rappresenta una sfida per la sicurezza digitale moderna.