Decoy Dog Malware

Ao realizar um exame abrangente do q malware recém-identificado, o Decoy Dog, os pesquisadores de segurança cibernética descobriram que ele representa um avanço considerável em comparação com sua base, o trojan de acesso remoto de código aberto Pupy RAT.

O Decoy Dog exibe uma extensa gama de capacidades potentes e anteriormente não reveladas, diferenciando-o como uma ameaça mais sofisticada. Entre seus recursos notáveis, está a capacidade de realocar as vítimas para um controlador alternativo, permitindo que agentes mal-intencionados por trás do malware mantenham a comunicação com as máquinas comprometidas enquanto evitam a detecção por longos períodos. Notavelmente, houve casos em que as vítimas interagiram involuntariamente com um servidor Decoy Dog por mais de um ano, destacando a furtividade e resiliência desse software malicioso.

O Decoy Dog Malware é Equipado com um Conjunto Expandido de Recursos Ameaçadores

O malware recentemente identificado, Decoy Dog, possui várias novas funcionalidades que o diferenciam. Notavelmente, o Decoy Dog agora possui a capacidade de executar código Java arbitrário no cliente, concedendo-lhe uma gama mais ampla de ações.

Além disso, o malware foi equipado com um mecanismo semelhante a um algoritmo tradicional de geração de domínio DNS (DGA) para se conectar a controladores de emergência. Esse mecanismo envolve a engenharia dos domínios Decoy Dog para responder a consultas DNS repetidas provenientes de clientes violados. Por meio dessa abordagem, os agentes mal-intencionados por trás do Decoy Dog podem redirecionar efetivamente a comunicação de dispositivos comprometidos de seu controlador atual para outro. Este comando crítico instrui os dispositivos comprometidos a interromper a comunicação com o controlador atual e estabelecer contato com um novo.

A descoberta desse sofisticado kit de ferramentas ocorreu no início de abril de 2023, motivada pela detecção de atividade anômala de beacon de DNS. Essa revelação trouxe à tona os ataques altamente direcionados do malware voltados especificamente para redes corporativas.

Os Cibercriminosos por Trás do Decoy Dog Malware podem Atingir Regiões Específicas

As origens do Decoy Dog ainda não foram definitivamente estabelecidas, mas suspeita-se que seja operado por um seleto grupo de hackers de estado-nação. Esses hackers empregam táticas distintas ao responder a solicitações de entrada que se alinham com a estrutura de comunicação do cliente, tornando-se uma ameaça potente e evasiva no cenário de segurança cibernética.

O Decoy Dog utiliza efetivamente o sistema de nome de domínio (DNS) para suas operações de comando e controle (C2). Quando um dispositivo é comprometido por esse malware, ele estabelece comunicação com um controlador designado (servidor) por meio de consultas DNS e respostas de endereço IP, recebendo instruções do controlador.

Depois de serem expostos por especialistas em segurança cibernética, os agentes de ameaças por trás do Decoy Dog agiram rapidamente, derrubando certos servidores de nomes DNS e registrando prontamente novos domínios substitutos para garantir a persistência remota e o controle contínuo. Isso permitiu que eles transferissem os clientes comprometidos existentes para os novos controladores, demonstrando sua determinação em manter o acesso às suas vítimas.

A implantação inicial do Decoy Dog remonta ao final de março ou início de abril de 2022. Desde então, três outros clusters do malware foram detectados, cada um operado por um controlador diferente. Até agora, um total de 21 domínios Decoy Dog foram identificados. Além disso, um conjunto de controladores registrados desde abril de 2023 adaptou suas táticas implementando técnicas de geofencing. Essa técnica restringe as respostas aos endereços IP do cliente a localizações geográficas específicas, com a atividade observada predominantemente limitada a regiões da Rússia e da Europa Oriental.