Código HTML do Conteúdo
Post: Novo DNS Malware 'Detour Dog' usa TXT Records para entregar a Strela Colinger - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>O Detour Dog, uma campanha de malware furtiva rastreada desde agosto de 2023, evoluiu de redirecionar vítimas para golpes de apoio à tecnologia para um sofisticado sistema de distribuição de comando e controle de DNS (C2) que entrega o roubo de informações sobre a Strealer por meio de registros DNS TXT. </p>
<p>Dezenas de milhares de sites comprometidos em todo o mundo fazem solicitações DNS do lado do servidor que são invisíveis para os visitantes, permitindo redirecionamentos condicionais e execução remota de código.</p>
<p>Originalmente, o desvio de servidores de nomes controlados por cães direcionaram sites infectados para fazer um golpe de páginas de destino como Los Pollos e Help TDS. </p>
<p>No final de novembro de 2024, os redirecionamentos mudaram de Los Pollos para ajudar as redes afiliadas da TDS e do Monetizer TDS, mas o resultado – a monetização do tráfego agitada – permaneceu a mesma. </p>
<p>Iniciando a primavera 2025, apareceu um novo recurso: os servidores de nomes começaram a responder a consultas TXT DNS especialmente formatadas com comandos “Down” codificados por Base64, instruindo os sites comprometidos a buscar e executar scripts PHP dos servidores C2 remotos. Isso marca a primeira vez que o DOG DOG entregou malware diretamente aos usuários domésticos.</p>
<p>Em junho de 2025, pesquisadores <a href="https://blogs.infoblox.com/threat-intelligence/detour-dog-dns-malware-powers-strela-stealer-campaigns/" rel="noreferrer noopener nofollow" target="_blank">observado</a> Detour Dog Infrastructure Hosting The Starfish Backdoor, que instala a carga útil do ladrão de strela. A análise revelou que 69% dos hospedeiros confirmados de encenação de estrelas do mar estavam sob controle de cães de desvio. </p>
<p>Detendimento de cães Handcrafts Rastreando identificadores que são transportados em vários sistemas de distribuição de tráfego (TDSS).</p>
<p>Externamente, as estrelas do mar e a strela foram espalhadas por spam enviadas pela botnet Rem Proxy Mikrotik e da botnet da Tofsee. </p>
<p>Em 8 de junho, as respostas do DNS TXT começaram a fornecer URLs C2 para <a href="https://gbhackers.com/php-vulnerability-packetcrypt-mining/" rel="noreferrer noopener" target="_blank">Terminais PHP</a>-primeiro <code>script.php</code> Para entregar o downloader da estrela do mar, então <code>file.php</code> Para buscar o Arquivo de Zip Strela Stealer-criando uma cadeia de entrega orquestrada de DNS e várias etapas.</p>
<h2 id="h-dns-txt-as-a-covert-channel"><strong>Dns txt como um canal secreto</strong></h2>
<p>Sites comprometidos geram consultas DNS TXT do formulário:</p>
<pre>text<code>....c2_domain
</code></pre>
<p>Quando <code></code> corresponde a padrões como <code>nwuuscript</code> ou <code>nauufile</code>o servidor de nome autoritário retorna um registro txt prefixado com “Down” e um URL C2. </p>
<p>A saída de script PHP é retransmitida para a vítima, tudo por meio de solicitações de CURL do lado do servidor que evitam a detecção do lado do cliente. </p>
<p>Os registros passivos do DNS de 6 a 8 de agosto de 2025 mostram mais de 4 milhões de consultas, predominantemente benignas de respostas “não fazem nada”, mas os comandos ocasionais de execução remota revelam um modelo inovador de distribuição no estilo Monte.</p>
<p>A Fundação ShadowServer afundou o domínio C2 primário, <code>webdmonitor[.]io</code>em agosto de 2025, apenas para o cão de desvio para girar <code>aeroarrows[.]io</code> em poucas horas. Os dados do poço capturaram mais de 39 milhões de consultas TXT em 48 horas, de 30.000 hosts infectados em 584 TLDs. </p>
<p>Embora o tráfego de bot dominasse – dividindo em 2 milhões de solicitações por hora – a IPS unique abrangeu 89 países, com os Estados Unidos representando 37% dos IPs de visitantes distintos. </p>
<p>Curiosamente, alguns IPs codificados pertenciam às sub -redes do Departamento de Defesa dos EUA, ressaltando o mistério de quem ou o que gera essas consultas.</p>
<h2 id="h-historic-evolution-and-affiliate-network-ties"><strong>Evolução histórica e laços de rede de afiliados</strong></h2>
<p>Detour Dog’s Origins Trace de volta a fevereiro de 2020, encaminhando inicialmente o tráfego para afiliados de Los Pollos identificados por IDs como <code>bt1k60t</code> e a integração posterior Ajuda os IDs de afiliados do TDS. </p>
<p>O link Los Pollos também inclui o Afiliate ID BT1K60T e o site é redirecionado para outro domínio, BraRaraildye[.]Live, hospedado em Hetzner, que acreditamos fazer parte do Taco Loco.</p>
<p>Cadeias de redirecionamento detalhadas documentadas em novembro de 2024 e 20 de novembro de 2024 ilustram transições de Ajuda TDS para TDS Monetizer com parâmetros de rastreamento consistentes (<code>cid:11005</code>). </p>
<p>Os cronogramas compostos revelam fluxos contínuos de afiliados que abrangem cinco anos e meio.</p>
<p>Esse <a href="https://gbhackers.com/uncovering-hiding-images-in-dns-txt-entries/" rel="noreferrer noopener" target="_blank">Dns txt</a> O modelo C2 representa uma nova arquitetura de distribuição de malware resiliente que disfarça a verdadeira infraestrutura C2 por trás de uma rede global de sites comprometidos. </p>
<p>Ao entrelaçar os fluxos de tráfego de marketing de afiliados com a execução remota baseada em DNS, o cão de desvio ofusca ofusca as correntes de ataque e desperta os defensores. </p>
<p>À medida que o Detour Dog continua refinando seu sistema – com testes passivos de DNS, indicando a expansão contínua dos recursos – organizações e caçadores de ameaças devem incorporar estratégias de monitoramento e afundamento de TXT DNS para detectar e mitigar essas ameaças secretas.</p>
<p><strong>Siga -nos<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&gl=IN&ceid=IN%3Aen" rel="noreferrer noopener" target="_blank">Google News</a>Assim,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener" target="_blank">X</a>Para obter atualizações instantâneas e definir GBH como uma fonte preferida em<a href="https://www.google.com/preferences/source?q=https://gbhackers.com/" rel="noreferrer noopener" target="_blank">Google</a>.</strong></p>
</div></div>