Detour Dog, un agente malicioso que utiliza DNS para lanzar campañas de malware
- Endpoint
Este agente, que ha infectado ya más de 30.000 sitios web, usa los registros TXT de DNS para realizar acciones command and control encubiertas, lo que permite a los sitios web infectados obtener y ejecutar scripts maliciosos. El éxito de Detour Dog se debe a su capacidad para operar sigilosamente.
Infoblox Threat Intel, la unidad de inteligencia de seguridad de Infoblox, ha identificado un agente malicioso, al que ha denominado “Detour Dog”, que utiliza de forma abusiva DNS para llevar a cabo campañas de malware que han infectado más de 30.000 sitios web, de manera que pasa totalmente desapercibida. Este malware ha evolucionado desde agentes orientados a realizar redireccionamiento de usuarios con fines fraudulentos a distribuir otros tipos malware dedicados al robo de información.
Detour Dog utiliza una técnica novedosa: usa los registros TXT de DNS para realizar acciones C2 encubiertas, lo que permite a los sitios web infectados obtener y ejecutar scripts maliciosos mientras ocultan los servidores que están detrás de los sitios comprometidos. Este control del lado del servidor significa que una página web puede parecer legítima para la mayoría de los visitantes, pero sólo ataca a determinados usuarios, de forma selectiva en función de su ubicación y dispositivo. El volumen de actividad es enorme, con picos de más de 2 millones de peticiones de registros TXT de DNS en una hora.
La clave del éxito de esta técnica radica en que es el servidor, no el cliente, el que realiza consultas que codifican la IP y el tipo de dispositivo del usuario. Los servidores de nombres controlados por el atacante deciden qué usuarios son redirigidos a sitios de estafas, activando una instrucción remota de "descargar y ejecutar".
Difícil de detectar
El éxito de Detour Dog se debe a su capacidad para operar sigilosamente. La mayoría de las veces, no hay una vulnerabilidad clara del sistema y es difícil reproducir sus redirecciones maliciosas. Los sitios web pueden estar infectados durante más de un año, ya que la mayoría de las visitas parecen normales y solo ciertos usuarios son objetivo del malware.
Aproximadamente el 90% de las consultas DNS de sitios infectados obtienen una respuesta de "no hacer nada". Solo un pequeño porcentaje de esas consultas desencadena acciones maliciosas: alrededor del 9 % son redirecciones y el 1 % son tareas de búsqueda y ejecución.
Detour Dog hace que el tráfico web cotidiano se convierta en un riesgo para el negocio. Es probable que las herramientas tradicionales de ciberseguridad en el endpoint pasen por alto la actividad DNS del lado del servidor, por lo que el punto crítico para mitigar esta amenaza se encuentra entre la capa de DNS y la red.
