Strela Stealer entregue via DNS TXT por nova campanha Detour Dog

A campanha ‘Detour Dog’, um ator de ameaças ativo desde fevereiro de 2020, lançou uma nova estratégia inovadora para distribuir o malware Strela Stealer. Utilizando consultas de registros DNS TXT, a campanha consegue redirecionar visitantes de sites comprometidos e entregar malware em múltiplas etapas, afetando dezenas de milhares de sites ao redor do mundo. Essa abordagem permite que o Detour Dog evite a detecção e mantenha controle sobre a infraestrutura infectada.

Desde a primavera de 2025, a evolução do malware se intensificou, passando de redirecionamentos simples para execuções remotas de código, tudo orquestrado por solicitações DNS que permanecem invisíveis aos usuários. A infraestrutura do Detour Dog, que inclui mais de 30.000 hosts infectados, utiliza servidores DNS controlados pelo ator para enviar comandos que podem acionar downloads de payloads maliciosos. A campanha tem como alvo entidades na Alemanha e na Ucrânia, utilizando e-mails de spam com anexos SVG maliciosos.

Os esforços de mitigação, como o sinkholing realizado pela Shadowserver Foundation, revelaram um aumento significativo nas consultas DNS TXT, com picos de até 2 milhões por hora. A resiliência da campanha é sustentada por um modelo de distribuição que combina botnets e manipulação de sistemas de distribuição de tráfego, tornando a detecção e a resposta um desafio contínuo para os profissionais de segurança.

Fonte: https://cyberpress.org/strela-stealer/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
01/10/2025 • Risco: ALTO
MALWARE

Strela Stealer entregue via DNS TXT por nova campanha 'Detour Dog'

RESUMO EXECUTIVO
A campanha 'Detour Dog' representa uma nova fronteira em cibercrime, utilizando DNS para ocultar suas operações. A capacidade de redirecionar tráfego e executar código malicioso sem ser detectado é uma preocupação significativa para a segurança das organizações, especialmente em um contexto onde a conformidade com a LGPD é crítica.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido a compromissos de dados e interrupções operacionais.
Operacional
Distribuição de malware em larga escala e comprometimento de infraestrutura.
Setores vulneráveis
['Tecnologia da Informação', 'Finanças', 'Setor Público']

📊 INDICADORES CHAVE

Mais de 30.000 hosts infectados Indicador
2 milhões de consultas DNS TXT por hora Contexto BR
584 TLDs afetados Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de consultas DNS para padrões anômalos.
2 Implementar medidas de sinkholing para domínios maliciosos identificados.
3 Monitorar continuamente consultas DNS TXT e atividades de rede relacionadas.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a evolução das táticas de malware que utilizam DNS para evitar detecção, o que pode comprometer a segurança de suas redes.

⚖️ COMPLIANCE

Implicações legais e de conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).