Pesquisadores de segurança da Infoblox revelaram uma campanha de malware que, silenciosamente, comprometeu mais de 30.000 sites e os internautas que os acessaram. Chamada de DetourDog, a iniciativa mirou em servidores desprotegidos com um malware de mesmo nome, forçando os servidores a redirecionarem os visitantes.
- O que é phishing e como se proteger?
- O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
Como as requisições de DNS são feitas pelo próprio site, ao invés dos visitantes, elas são invisíveis às vítimas. Isso ajudou a campanha a ficar fora do radar por meses, tendo sido identificada apenas agora.
Segundo os especialistas, os hackers usaram uma combinação de registradores, provedores de DNS e domínios mal configurados para espalhar o vírus.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
A campanha DetourDog
Segundo a análise, as vítimas do ataque são redirecionadas de sites legítimos, mas comprometidos, para outros que hospedam um infostealer chamado Strela Stealer. A partir daí, o malware é espalhado por técnicas de drive-by comuns, como solicitação de downloads pelo usuário ou exploração das vulnerabilidades de browser, a depender do ambiente do usuário.
O Strela Stealer foi identificado pela primeira vez no final de 2022, quando era usado para extrair credenciais de e-mail do Microsoft Outlook e do Thunderbird. O vírus foi evoluindo e se tornou um infostealer modular, conseguindo roubar credenciais de diversas fontes e navegadores, se comunicando com servidores de comando e controle para entregar os dados e receber atualizações, persistindo na máquina da vítima.
Os especialistas em cibersegurança da InfoBlox ainda não conseguiram atribuir a responsabilidade do ataque a algum grupo hacker específico, mas já têm algumas pistas de sua identidade. “Strela”, em russo e outras línguas eslavas, quer dizer “flecha”, indicando uma possível origem em países do leste europeu. A empresa notificou os donos dos domínios afetados e as autoridades relevantes.
As vítimas ainda estão limpando a infraestrutura afetada, mas ainda não foi possível determinar a escala completa dos danos. Os pesquisadores recomendam que organizações auditem suas configurações de DNS, monitorem servidores em busca de padrões de tráfego incomuns e implementem soluções de segurança para detectar e bloquear ameaças do tipo.
Leia mais:
- O que é uma vulnerabilidade de dia zero (Zero-Day)?
- O que é firewall e como ele funciona?
- Criptografia para iniciantes: o que é e por que é importante?
VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]
Leia a matéria no Canaltech.
