Grupo Detour Dog distribui malware Strela Stealer via DNS

BR Defense Center (By River de Morais e Silva)
malware

O grupo de ameaças conhecido como Detour Dog foi identificado como responsável pela distribuição de um malware chamado Strela Stealer, que atua como um ladrão de informações. A análise da Infoblox revelou que Detour Dog controla domínios que hospedam a primeira fase do malware, um backdoor chamado StarFish. Desde agosto de 2023, a Infoblox vem monitorando as atividades do grupo, que inicialmente se concentrava em redirecionar tráfego de sites WordPress para páginas maliciosas. O malware evoluiu para executar conteúdo remoto através de um sistema de comando e controle baseado em DNS.

O StarFish é entregue por meio de arquivos SVG maliciosos, permitindo acesso persistente a máquinas infectadas. O grupo Hive0145, que opera desde 2022, é considerado motivado financeiramente e atua como um corretor de acesso inicial, vendendo acesso a sistemas comprometidos. A infraestrutura do Detour Dog também foi utilizada para facilitar a distribuição do malware via registros DNS TXT, permitindo que sites comprometidos executem comandos de código remoto. O ataque é particularmente insidioso, pois os sites comprometidos funcionam normalmente na maior parte do tempo, dificultando a detecção. A Infoblox, em colaboração com a Shadowserver Foundation, conseguiu neutralizar dois domínios de comando e controle do Detour Dog em julho e agosto de 2025.

Fonte: https://thehackernews.com/2025/10/detour-dog-caught-running-dns-powered.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
03/10/2025 • Risco: ALTO
MALWARE

Grupo Detour Dog distribui malware Strela Stealer via DNS

RESUMO EXECUTIVO
O Detour Dog representa uma ameaça crescente, utilizando técnicas sofisticadas para distribuir malware através de sites comprometidos. A evolução de suas táticas exige atenção especial dos líderes de segurança, pois a ocultação de suas operações pode dificultar a detecção e resposta a incidentes.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de informações e comprometimento de sistemas.
Setores vulneráveis
['Tecnologia da Informação', 'E-commerce', 'Educação']

📊 INDICADORES CHAVE

69% dos hosts de staging do StarFish estavam sob controle do Detour Dog. Indicador
O grupo foi identificado como responsável por campanhas de malware desde 2022. Contexto BR
Apenas 1% dos visitantes é redirecionado para comandos de execução remota. Urgência

⚡ AÇÕES IMEDIATAS

1 Auditar sites WordPress para vulnerabilidades e possíveis injeções de código.
2 Implementar medidas de segurança adicionais, como firewalls e monitoramento de tráfego DNS.
3 Monitorar continuamente atividades suspeitas em domínios e registros DNS relacionados.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a evolução das táticas de malware e a capacidade de ocultação do Detour Dog, que utiliza sites legítimos para distribuir malware.

⚖️ COMPLIANCE

Implicações diretas na conformidade com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).