"Ataque invisível" comprometeu 30 mil sites sem ninguém perceber

Pesquisadores de segurança da Infoblox revelaram uma campanha de malware que, silenciosamente, comprometeu mais de 30.000 sites e os internautas que os acessaram. Chamada de DetourDog, a iniciativa mirou em servidores desprotegidos com um malware de mesmo nome, forçando os servidores a redirecionarem os visitantes.

• O que é phishing e como se proteger?
• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes

Como as requisições de DNS são feitas pelo próprio site, ao invés dos visitantes, elas são invisíveis às vítimas. Isso ajudou a campanha a ficar fora do radar por meses, tendo sido identificada apenas agora.

Segundo os especialistas, os hackers usaram uma combinação de registradores, provedores de DNS e domínios mal configurados para espalhar o vírus.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

A campanha DetourDog

Segundo a análise, as vítimas do ataque são redirecionadas de sites legítimos, mas comprometidos, para outros que hospedam um infostealer chamado Strela Stealer. A partir daí, o malware é espalhado por técnicas de drive-by comuns, como solicitação de downloads pelo usuário ou exploração das vulnerabilidades de browser, a depender do ambiente do usuário.

O Strela Stealer foi identificado pela primeira vez no final de 2022, quando era usado para extrair credenciais de e-mail do Microsoft Outlook e do Thunderbird. O vírus foi evoluindo e se tornou um infostealer modular, conseguindo roubar credenciais de diversas fontes e navegadores, se comunicando com servidores de comando e controle para entregar os dados e receber atualizações, persistindo na máquina da vítima.

Os especialistas em cibersegurança da InfoBlox ainda não conseguiram atribuir a responsabilidade do ataque a algum grupo hacker específico, mas já têm algumas pistas de sua identidade. “Strela”, em russo e outras línguas eslavas, quer dizer “flecha”, indicando uma possível origem em países do leste europeu. A empresa notificou os donos dos domínios afetados e as autoridades relevantes.

As vítimas ainda estão limpando a infraestrutura afetada, mas ainda não foi possível determinar a escala completa dos danos. Os pesquisadores recomendam que organizações auditem suas configurações de DNS, monitorem servidores em busca de padrões de tráfego incomuns e implementem soluções de segurança para detectar e bloquear ameaças do tipo.

Leia mais:

• O que é uma vulnerabilidade de dia zero (Zero-Day)?
• O que é firewall e como ele funciona?
• Criptografia para iniciantes: o que é e por que é importante?

VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]

Fonte: InfoBlox