Malware per cani esca

Dopo aver condotto un esame completo di un nuovo malware identificato, il Decoy Dog, i ricercatori di sicurezza informatica hanno scoperto che rappresenta un notevole progresso rispetto alla sua fondazione, il trojan di accesso remoto open source Pupy RAT.

Il Decoy Dog mostra una vasta gamma di capacità potenti e precedentemente sconosciute, che lo distinguono come una minaccia più sofisticata. Tra le sue straordinarie caratteristiche c'è la capacità di ricollocare le vittime su un controller alternativo, consentendo agli attori malintenzionati dietro il malware di mantenere la comunicazione con le macchine compromesse eludendo il rilevamento per periodi prolungati. Sorprendentemente, ci sono stati casi in cui le vittime hanno interagito inconsapevolmente con un server Decoy Dog per oltre un anno, evidenziando la furtività e la resilienza di questo software dannoso.

Il malware Decoy Dog è dotato di una serie estesa di funzionalità minacciose

Il malware recentemente identificato, Decoy Dog, vanta diverse nuove funzionalità che lo distinguono. In particolare, Decoy Dog ora possiede la capacità di eseguire codice Java arbitrario sul client, garantendogli una gamma più ampia di azioni.

Inoltre, il malware è stato dotato di un meccanismo simile a un tradizionale algoritmo di generazione del dominio DNS (DGA) per connettersi ai controller di emergenza. Questo meccanismo comporta l'ingegnerizzazione dei domini Decoy Dog per rispondere alle query DNS riprodotte provenienti da client violati. Attraverso questo approccio, gli attori malintenzionati dietro Decoy Dog possono reindirizzare efficacemente la comunicazione dei dispositivi compromessi dal loro attuale controller a un altro. Questo comando critico indica ai dispositivi compromessi di interrompere la comunicazione con il controller corrente e di stabilire un contatto con uno nuovo.

La scoperta di questo sofisticato toolkit è avvenuta all'inizio di aprile 2023, sollecitata dal rilevamento di attività anomale di beaconing DNS. Questa rivelazione ha portato alla luce gli attacchi altamente mirati del malware mirati specificamente alle reti aziendali.

I criminali informatici dietro il malware Decoy Dog possono prendere di mira regioni specifiche

Le origini del Decoy Dog non sono state ancora definitivamente stabilite, ma si sospetta che sia gestito da un gruppo selezionato di hacker di stato-nazione. Questi hacker impiegano tattiche distinte mentre rispondono alle richieste in entrata che si allineano con la struttura della comunicazione del cliente, rendendola una minaccia potente e sfuggente nel panorama della sicurezza informatica.

Il Decoy Dog utilizza efficacemente il sistema dei nomi di dominio (DNS) per le sue operazioni di comando e controllo (C2). Quando un dispositivo viene compromesso da questo malware, stabilisce la comunicazione con un controller designato (server) tramite query DNS e risposte dell'indirizzo IP, ricevendo istruzioni dal controller.

Dopo essere stati smascherati dagli esperti di sicurezza informatica, gli autori delle minacce dietro il Decoy Dog hanno agito rapidamente rimuovendo alcuni server dei nomi DNS e registrando prontamente nuovi domini sostitutivi per garantire la persistenza remota e il controllo continuo. Ciò ha consentito loro di trasferire i client compromessi esistenti ai nuovi controllori, dimostrando la loro determinazione a mantenere l'accesso alle loro vittime.

La distribuzione iniziale di Decoy Dog risale alla fine di marzo o all'inizio di aprile 2022. Da allora, sono stati rilevati altri tre cluster di malware, ciascuno gestito da un controller diverso. Finora sono stati identificati un totale di 21 domini Decoy Dog. Inoltre, un gruppo di controllori registrati dall'aprile 2023 ha adattato le proprie tattiche implementando tecniche di geofencing. Questa tecnica limita le risposte agli indirizzi IP dei client a specifiche località geografiche, con l'attività osservata prevalentemente limitata alle regioni della Russia e dell'Europa orientale.