Un análisis de más de 70 mil millones de registros DNS ha llevado al descubrimiento de un nuevo y sofisticado conjunto de herramientas de malware denominado Perro señuelo apuntando a las redes empresariales.
Perro señuelocomo su nombre lo indica, es evasivo y emplea técnicas como el envejecimiento estratégico del dominio y el goteo de consultas de DNS, en el que se transmite una serie de consultas a los dominios de comando y control (C2) para no despertar sospechas.
«Decoy Dog es un conjunto de herramientas cohesivo con una serie de características muy inusuales que lo hacen identificable de manera única, particularmente cuando se examinan sus dominios a nivel de DNS», Infoblox dicho en un aviso publicado a fines del mes pasado.
La firma de ciberseguridad, que identificó el malware a principios de abril de 2023 luego de una actividad anómala de señalización de DNS, dijo que sus características atípicas le permitieron mapear dominios adicionales que son parte de la infraestructura de ataque.
Dicho esto, el uso de Decoy Dog en la naturaleza es «muy raro», con la firma DNS que coincide con menos del 0,0000027% de los 370 millones de dominios activos en Internet, según la empresa con sede en California.
Uno de los componentes principales del conjunto de herramientas es Pupy RAT, un troyano de código abierto que se entrega por medio de un método llamado tunelización de DNSen el que las consultas y respuestas de DNS se utilizan como un C2 para dejar caer cargas útiles de forma sigilosa.
Vale la pena señalar que el uso de Pupy RAT multiplataforma se ha relacionado con actores de estados nacionales de China como Earth Berberoka (también conocido como GamblingPuppet) en el pasado, aunque no hay evidencia que sugiera la participación del actor en esta campaña.
La investigación adicional sobre Decoy Dog sugiere que la operación se había establecido al menos un año antes de su descubrimiento, con tres configuraciones de infraestructura distintas detectadas hasta la fecha.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Otro aspecto crucial es el comportamiento inusual de señalización de DNS asociado con los dominios de Decoy Dog, de modo que se adhieren a un patrón de solicitudes de DNS periódicas, pero poco frecuentes, para pasar desapercibidos.
«Dominios de perros señuelo se pueden agrupar en función de sus registradores compartidos, servidores de nombres, direcciones IP y proveedores de DNS dinámico», dijo Infoblox.
«Dadas las otras similitudes entre los dominios de Decoy Dog, esto es indicativo de que un actor de amenazas está evolucionando gradualmente en sus tácticas o que varios actores de amenazas implementan el mismo conjunto de herramientas en diferentes infraestructuras».