Detour Dog vinculado a la distribución habilitada por DNS del Stealer Strela a través de la puerta trasera StarFish

Detour Dog vinculado a la distribución habilitada por DNS del Stealer Strela a través de la puerta trasera StarFish

Resumen de hallazgos

Investigadores de seguridad de la firma de inteligencia sobre amenazas DNS Infoblox han atribuido una serie de campañas de robo de información a un actor de amenazas rastreado como «Detour Dog». Según Infoblox, Detour Dog mantuvo control operacional sobre dominios que alojaban el componente de primera etapa de la cadena de malware —una puerta trasera que el informe identifica como StarFish—, la cual se utilizó para entregar Strela Stealer.

Infoblox informa que ha estado rastreando a Detour Dog desde agosto de 2023, y su análisis pone de manifiesto el uso por parte del actor de infraestructura alojada en DNS para gestionar la distribución y el control en las primeras etapas de la campaña del stealer.

Antecedentes y por qué importa

Los programas de robo de información, como Strela Stealer, están diseñados para exfiltrar credenciales, cookies, datos del navegador, monederos de criptomonedas y otra información sensible de equipos infectados. El robo de credenciales y tokens facilita fraudes posteriores, toma de control de cuentas y movimientos laterales dentro de los entornos de las víctimas.

El DNS es un servicio de red fundamental y se abusa comúnmente de él para mando y control (C2), distribución de cargas útiles e infraestructura resiliente porque es omnipresente, a menudo está poco supervisado y puede utilizarse para ocultar la ubicación real de los servidores maliciosos. Cuando los actores combinan malware robador de información con controles basados en DNS, se incrementa la complejidad de detección y remediación para los defensores: la actividad maliciosa puede mezclarse con tráfico DNS legítimo y persistir mediante la rotación o el re-registro de dominios.

Contexto técnico y contribución de Infoblox

La divulgación de Infoblox se centra en tres elementos verificables reportados en el análisis original:

• Etiqueta de atribución: el conjunto de actividad se atribuye a un actor que Infoblox denomina «Detour Dog».
• Puerta trasera de primera etapa: la carga inicial observada en la campaña se identifica como StarFish, que sirve como punto de entrada para desplegar Strela Stealer.
• Infraestructura DNS: Detour Dog mantuvo control sobre dominios que albergaban esa puerta trasera de primera etapa, lo que indica el uso de recursos alojados o resueltos por DNS como parte del mecanismo de distribución y control.

El papel de Infoblox como proveedor de inteligencia centrado en DNS ofrece visibilidad sobre patrones de registro de dominios, historiales de registros DNS y tráfico DNS anómalo —datos que con frecuencia revelan reutilización de infraestructura, ciclos de vida de dominios y técnicas de fast-flux que son difíciles de detectar solo con telemetría de hosts.

Análisis experto y recomendaciones para profesionales

Para los equipos de seguridad, de los hallazgos de Infoblox se derivan tres observaciones prácticas:

• Monitorizar el DNS como fuente de telemetría primaria. Los registros de DNS y la telemetría de consultas DNS suelen revelar indicadores tempranos de compromiso (p. ej., consultas inusuales a registros TXT, patrones atípicos de subdominios o picos en respuestas NXDOMAIN). Las organizaciones deberían recopilar los registros de consultas DNS de resolutores y reenviadores y conservarlos para actividades de threat hunting.
• Tratar los cargadores de primera etapa y la infraestructura de dropper como prioridad alta. La puerta trasera StarFish descrita por Infoblox funciona como punto pivotante hacia un stealer con mayores capacidades. Detectar y interrumpir la entrega de primera etapa reduce la probabilidad de un evento completo de exfiltración de datos.
• Combinar defensas de red y endpoint. La detección de técnicas basadas en DNS requiere análisis correlacionado: telemetría DNS para identificar abusos de dominios, controles de salida de red para bloquear C2 maliciosos y detección y respuesta en endpoints (EDR) para identificar y contener comportamientos similares a StarFish y artefactos de Strela Stealer si se ejecutan.

Recomendaciones operativas:

• Imponer filtrado de salida y filtrado DNS en el perímetro de la red para bloquear dominios maliciosos conocidos y tipos de registros DNS sospechosos utilizados como canales encubiertos.
• Integrar feeds de inteligencia de amenazas que incluyan indicadores DNS (dominios, servidores de nombres, patrones de registro) y aplicarlos a resolutores, cortafuegos y listas de proxy.
• Fortalecer las credenciales y habilitar la autenticación multifactor (MFA) siempre que sea posible. Dado que los stealers buscan capturar credenciales, reducir el valor de las credenciales obtenidas es una mitigación directa.
• Instrumentar el registro y la retención para sistemas DNS, proxy y de autenticación para respaldar investigaciones retrospectivas cuando se sospeche actividad maliciosa.
• Priorizar reglas de detección para accesos iniciales/cargadores en plataformas EDR, y ajustar la detección de anomalías para señalar nuevos binarios ejecutados que realicen reconocimiento de red, acceso a credenciales o extracción de datos del navegador.

Casos comparables y tendencias generales

Las familias de stealers han sido un problema persistente durante años, con varias familias de alto perfil (por ejemplo, RedLine y otras ampliamente documentadas en la literatura de seguridad) que operan como malware de mercancía vendido en mercados criminales. De forma similar, el abuso del DNS como conducto para C2 y transferencia encubierta de datos se ha documentado repetidamente: los actores emplean DNS porque puede ser difícil de bloquear sin afectar servicios legítimos.

Dos tendencias generales y ampliamente observadas se alinean con la actividad de Detour Dog:

• Operacionalización de cadenas de herramientas pequeñas y modulares. Los actores de amenazas ensamblan cada vez más cadenas de herramientas donde puertas traseras ligeras o cargadores (componentes de primera etapa) descargan o implantan stealers y módulos de exfiltración más capaces.
• Agilidad de la infraestructura. El uso de registros de dominio, DNS dinámico y la manipulación de registros DNS permite a los actores cambiar rápidamente de hosts y ofuscar la relación entre elementos de la campaña, complicando las acciones de bloqueo y las listas negras.

Riesgos potenciales e implicaciones organizacionales

El acoplamiento de infraestructura basada en DNS con stealers genera varios vectores de riesgo para las organizaciones:

• Compromiso de credenciales y movimiento lateral: las credenciales robadas permiten a los atacantes escalar privilegios y desplazarse lateralmente en redes empresariales, potencialmente alcanzando datos sensibles o sistemas administrativos.
• Exposición de datos y fraude: los datos personales y de pago exfiltrados por stealers pueden conducir directamente a fraude financiero, robo de identidad y daños reputacionales.
• Huecos de detección: si el DNS no se monitoriza adecuadamente o los defensores dependen únicamente de firmas basadas en IP o archivos, las etapas iniciales del compromiso pueden pasar desapercibidas hasta que el robo esté bien avanzado.
• Riesgo en la cadena de suministro y terceros: los dominios maliciosos pueden utilizarse para apuntar a proveedores de servicios o mecanismos de actualización de software, ampliando la exposición más allá del equipo inicialmente comprometido.

Para los respondedores a incidentes, la presencia de una puerta trasera de primera etapa como StarFish implica que la contención debe centrarse tanto en la erradicación en endpoints como en la remediación de la infraestructura DNS: identificar y remediar la propiedad de dominios o registros DNS secuestrados, bloquear la resolución de dominios maliciosos en los resolutores y revocar o rotar cualquier credencial que pudiera haber sido capturada.

Conclusión

El informe de Infoblox que vincula a Detour Dog con la distribución alojada en DNS de StarFish y Strela Stealer pone de relieve la intersección entre el abuso del DNS y las operaciones de stealers. Los defensores deberían priorizar la telemetría DNS, integrar inteligencia centrada en dominios y reforzar los controles de credenciales y endpoints para reducir la eficacia de estas campañas. La detección temprana de cargadores de primera etapa y la contención agresiva de la infraestructura DNS maliciosa son clave para prevenir la exfiltración de datos posterior que hace lucrativas estas campañas para los adversarios.

Fuente: thehackernews.com