Misterioso malware Decoy Dog usa DNS para controlo de vítimas

Um grupo de investigadores revelou uma nova ferramenta maliciosa, que se encontra no ativo faz mais de um ano, e que usa sistemas de DNS para enviar e receber comandos usados para ataques.

A ameaça é conhecida como “Decoy Dog”, sendo ainda desconhecida a origem do mesmo, mas que se encontra possivelmente relacionada com a invasão da Ucrânia pela Rússia, tendo sido criado na mesma altura.

De acordo com a empresa de segurança Infoblox, o malware foca-se em usar sistemas DNS para enviar e receber os comandos de ataque, sendo que usa um conjunto de domínios específicos para essa tarefa.

Como o tráfego do malware é enviado diretamente como pedidos DNS, isto pode passar despercebido como sendo de um ataque direto pela maioria dos sistemas de deteção.

Apesar de o mesmo ter sido descoberto em meados de Abril, as suas atividades datam faz mais de um ano. E nos últimos tempos, o malware tem vindo também a evoluir consideravelmente.

Os investigadores afirmam que as versões mais recentes do mesmo são mais compatíveis com sistemas Windows, e possuem também melhorias consideráveis a nível da gestão de memória e dos pedidos realizados via DNS.

Os investigadores acreditam que este malware encontra-se focado para ataques direcionados, de alvos bastante específicos para os atacantes, e que a lista de potenciais vítimas – atualmente – ainda é relativamente pequena. Tendo em conta as dimensões dos pedidos, acredita-se que o malware tenha atualmente menos de 50 vítimas, mas é possível que o valor venha a aumentar consideravelmente conforme o malware também se encontra a desenvolver.

Segundo os investigadores, as atividades concretas do Decoy Dog ainda são um mistério, sobretudo quais os gestores do mesmo e as suas intenções ou alvos. Apesar de os investigadores acreditarem que este malware possui ligações com a Rússia, ainda se desconhecem quais os objetivos do mesmo no mercado.