Vírus usa DNS para se esconder em redes corporativas comprometidas
Por Felipe Demartini • Editado por Claudio Yuge |
Um novo malware, que estaria ligado a ataques governamentais realizados pela Rússia, é capaz de ocultar seus sinais em meio ao tráfego DNS de uma rede corporativa. O Decoy Dog, ou “Cão Chamariz”, em inglês, só pôde ser localizado após análise em grande escala de fluxo de informações, com sua comunicação esporádica acontecendo em meio à movimentação normal das organizações.
Conforme exposto pela empresa de cibersegurança Infoblox, o Decoy Dog é um kit de ferramentas maliciosas usadas como etapa inicial de um ataque cibercriminoso. Nos incidentes observados pelos seus especialistas, ele foi usado para entregar o Pupy RAT, um trojan de acesso remoto que possibilitaria o acesso dos bandidos a dados na rede comprometida, configurando possíveis operações de espionagem política ou industrial.
Ajuda, ainda, o fato de os alvos parecerem ter sido escolhidos a dedo, ainda que o alcance seja global. Empresas da América do Sul, Estados Unidos, Europa e Ásia foram atingidas pelo malware, nos setores de saúde, energia, finanças e tecnologia, com toda a comunicação entre o Decoy Dog e seus servidores de controle chegando a IPs localizados na Rússia, o que fez com que os especialistas indicassem a possibilidade de envolvimento governamental.
De acordo com a Infoblox, os ataques descobertos no começo deste mês estariam em andamento, pelo menos, desde abril do ano passado. Entretanto, o uso de outras técnicas ofensivas como o registro prévio de domínios, com a publicação de sites legítimos que somente seria usados para disseminar malware posteriormente, indica que os trabalhos podem estar acontecendo a ainda mais tempo.
Pelo menos seis URLs fraudulentas, simulando a aparência de endereços usados por serviços de cloud computing, estariam sendo usadas para comunicação entre o Pupy RAT e seus operadores. Acima disso, os sinais originados pelo kit de ferramentas Decoy Dog só foram descobertos após uma análise de mais de 70 bilhões de registros DNS diários, um trabalho em grande escala voltado para diferenciar o tráfego malicioso das comunicações legítimas.
Segundo a Infoblox, há um padrão periódico, mas não frequente, de geração de solicitações DNS pelo Decoy Dog. Isso faz com que mecanismos usuais de monitoramento de rede não localizem o problema; entretanto, a assinatura é única o bastante para ser detectada em uma análise em grande escala, o que possibilitou a descoberta da campanha maliciosa pelos especialistas.
Indicadores de comprometimento, domínios e outros detalhes técnicos do Decoy Dog foram publicados pela empresa de cibersegurança no GitHub. A recomendação é de bloqueio manual das URLs maliciosas e outras tarefas de monitoramento direcionado que possam indicar comprometimentos na rede.
Fonte: Infoblox