Представете си, че вашият компютър или телефон крие малък, невидим крадец, който тихо събира важна информация – пароли, данни за банкови карти, лични документи. Точно това прави един нов тип киберзаплаха, която напоследък привлича вниманието на експертите по сигурност. В центъра на схемата стои мистериозен играч, наречен Detour Dog (което може да преведем като "Кучето от Засада" или "Кучето за Отклоняване"), което е засечено да разпространява зловреден софтуер, известен като Strela Stealer ("Крадецът Стрела").
Кой е Detour Dog и Защо е Важен?
Detour Dog не е просто хакер, а по-скоро оператор на инфраструктура, който предоставя "услуга" за разпространение на зловреден софтуер. Експертите от компанията Infoblox следят дейността му от август 2023 г., но следите му датират още от февруари 2020 г.
В началото Detour Dog се е занимавал главно с пренасочване на трафик. Атакувал е уязвими сайтове, най-често изградени с WordPress, като е вграждал злонамерен код. Вместо да правят нещо очевидно, тези сайтове използвали един скрит канал, наречен DNS TXT записи, за да комуникират с командния център на хакерите. Обикновено това е водело до пренасочване на посетителите към измамни сайтове (т.нар. scams).
Ключовата промяна: Наскоро обаче този "служител по трафика" е еволюирал. Вместо само към измами, пренасочването вече започва да води и до разпространение на истински зловреден софтуер.
StarFish: Първата Стъпка към Кражбата
Detour Dog контролира домейните, които служат за първа стъпка в тази атака. На тези домейни се намира малка, но важна програма, наречена StarFish ("Морска Звезда").
StarFish е проста "обратна обвивка" (reverse shell). Представете си я като малък шлюз или таен проход, който се отваря на заразения компютър. Неговата единствена цел е да създаде връзка и да послужи като канал за основния крадец – Strela Stealer.
Според анализите, Detour Dog контролира над 69% от местата, които разпространяват този StarFish.
Големият Крадец: Strela Stealer
Основният играч, който се възползва от инфраструктурата на Detour Dog, е група, наречена Hive0145. Те стоят зад кампаниите за разпространение на Strela Stealer поне от 2022 г. Смята се, че тяхната мотивация е чисто финансова и най-вероятно работят като Брокери за Първоначален Достъп (IAB). Това означава, че те печелят пари, като получават достъп до заразени системи, а след това продават този достъп на други престъпници, които да извършат същинските кражби или изнудвания.
Сложният Път на Атаката: Ботонети и Двойна Игра
Как стига Strela Stealer до жертвите? Чрез мрежа от сложни връзки, в които участват и т.нар. ботонети (мрежи от заразени компютри).
Спамът: Зловредните имейли, които разпространяват Strela Stealer, идват от два големи ботнета – REM Proxy (използващ друг известен малуер, наречен SystemBC) и Tofsee.
Договорът: Според експертите, ботонетите са били "наети" да изпратят спам съобщенията, а Detour Dog е бил "нает" да осигури разпространението на самия зловреден софтуер.
Detour Dog използва уязвими WordPress сайтове, за да си осигури нова инфраструктура. Но най-хитрото е:
90% от времето, заразеният сайт работи нормално, което не буди никакво подозрение.
Само в 10% от случаите нещо се случва – потребителят или е пренасочен към измама (9%), или, много по-рядко (1%), получава команда за изпълнение на зловреден код.
Това ограничено пренасочване е умишлено, за да се избегне бързото засичане от системите за сигурност.
DNS като Таен Куриер
Най-новата и интелигентна част от схемата е използването на DNS TXT записи не само като комуникационен канал, но и като механизъм за доставка на зловреден код.
Когато жертвата отвори злонамерен прикачен файл (например SVG файл), заразеният сайт, който е част от мрежата на Detour Dog, изпраща скрита заявка към неговия команден център (C2) чрез DNS. В отговор, центърът изпраща TXT запис, който съдържа адрес към Strela C2 сървър и специален код ("down"). Заразеният сайт премахва кода и изтегля (чрез curl) следващата част от атаката – StarFish.
Тази сложна "щафета" позволява на нападателите:
Изводът: Detour Dog се е превърнал от обикновен пренасочвач на трафик към "Разпространител като Услуга" (DaaS), предоставяйки своята компрометирана мрежа за доставяне на сериозен софтуер за кражба на информация. Това показва, че киберпрестъпниците постоянно променят тактиката си, за да останат една крачка пред защитата.
Какво Означава Това за Обикновения Потребител?
Въпреки сложните технически термини, посланието е ясно:
Киберпрестъпността е бизнес, а Detour Dog е просто един от изпълнителите, който е намерил нов, по-печеливш начин да "доставя стоката". Защитата започва с информираност и повишено внимание.
