Pesquisadores de segurança da Infoblox revelaram uma massiva campanha de malware chamada DetourDog, que silenciosamente comprometeu mais de 30.000 sites e infectou os internautas que os acessaram. O ataque mirou em servidores desprotegidos, instalando um malware de mesmo nome para forçar o redirecionamento dos visitantes.
O que tornou o ataque “invisível” foi a sua técnica: o redirecionamento de DNS (Sistema de Nomes de Domínio) era feito pelo próprio site comprometido, e não pelos visitantes. Isso impediu que as vítimas detectassem as requisições, permitindo que a campanha operasse fora do radar por meses até ser identificada.
Segundo os especialistas, os hackers utilizaram uma combinação de registradores, provedores de DNS e domínios mal configurados para espalhar o vírus.
A Campanha DetourDog e o Strela Stealer
As vítimas do ataque eram redirecionadas de sites legítimos e comprometidos para páginas que hospedavam um infostealer (ladrão de informações) conhecido como Strela Stealer. A infecção ocorria por técnicas de drive-by, como solicitação de downloads pelo usuário ou exploração de vulnerabilidades no browser, dependendo do ambiente da vítima.
O Strela Stealer foi detectado pela primeira vez no final de 2022, inicialmente visando credenciais de e-mail do Microsoft Outlook e Thunderbird. Desde então, evoluiu para um infostealer modular, capaz de roubar credenciais de diversas fontes e navegadores. O vírus se comunica com servidores de comando e controle (Command and Control – C2) para entregar os dados roubados e receber atualizações, garantindo sua persistência na máquina da vítima.
Origem e Recomendações de Segurança
Embora a Infoblox ainda não tenha atribuído o ataque a um grupo hacker específico, há indícios de uma possível origem no Leste Europeu. O nome “Strela”, que significa “flecha” em russo e em outras línguas eslavas, sugere essa pista. A empresa notificou os donos dos domínios afetados e as autoridades competentes.
Apesar de as vítimas estarem trabalhando na limpeza da infraestrutura, a escala total dos danos ainda não foi determinada. Os pesquisadores de segurança recomendam que as organizações:
- Auditem suas configurações de DNS.
- Monitorem servidores em busca de padrões de tráfego incomuns.
- Implementem soluções de segurança robustas para detectar e bloquear ameaças desse tipo.
