Un nuevo conjunto de herramientas de malware, «Decoy Dog», ha estado apuntando activamente a las redes corporativas durante un año. Los investigadores identificaron a Decoy Dog después de analizar miles de millones de consultas de DNS.
Decoy Dog Malware dirigido activamente a empresas
Compartiendo los detalles en una publicación de blog reciente, la firma de seguridad cibernética Infoblox presentó un nuevo conjunto de herramientas maliciosas, «Señuelo de perro», que ejecuta campañas activas en la naturaleza.
Tal como se elaboró, los investigadores sintieron curiosidad al respecto después de detectar miles de millones de consultas de DNS maliciosas. Escanearon al menos 70 mil millones de consultas de DNS para encontrar un patrón de DNS similar del 0,0000027 % de todos los dominios activos en todo el mundo. Lo que los alarmó sobre las consultas de DNS fue su singularidad: devolvieron direcciones IP irresolubles, que es el epítome del Departamento de Defensa de EE. UU. o campañas de phishing maliciosas.
El análisis en profundidad de la pregunta permitió a los investigadores detectar estas consultas generadas desde las redes corporativas. Luego, las comunicaciones C2 se conectan a los hosts rusos.
Eventualmente, los investigadores podrían encontrar a PupyRAT vinculado a esta actividad. El kit de herramientas de malware Decoy Dog supuestamente implementó PupyRAT en las redes corporativas de destino.
Si bien la mayoría de los dominios asociados con esta campaña estaban vinculados al kit de herramientas, algunos dominios no lo estaban, lo que sugiere que podrían quedarse atrás debido al envejecimiento del dominio.
El investigador detectó por primera vez a Decoy Dog en la naturaleza en abril de 2023. Sin embargo, el análisis de dominio los llevó a deducir que el conjunto de herramientas se activó en abril de 2022.
Todavía no está claro si toda la actividad de Decoy Dog proviene del mismo actor de amenazas. Alternativamente, los creadores podrían haber configurado Decoy Dog para uso comercial, lo que permite que muchos actores de amenazas usen el kit de herramientas para diferentes programas maliciosos.
Además, los investigadores descubrieron que Decoy Dog generalmente se enfocaba solo en redes corporativas, ahorrando dispositivos de consumo. Sin embargo, sus redes comerciales objetivo pueden incluir pequeñas y grandes empresas.
Para mitigar tales ataques, Infoblox aconseja a las empresas que implementen listas de bloqueo en sus redes para evitar consultas de DNS maliciosas. También compartieron los IOC del kit de herramientas, que las organizaciones pueden usar para configurar filtros.
Háganos saber sus pensamientos en los comentarios.
