Fábrica de malware DNS de Detour Dog infecta más de 30.000 sitios con Strela Stealer

Investigadores de ciberseguridad han descubierto una campaña masiva de manipulación DNS que ha transformado más de 30.000 sitios web legítimos en centros de distribución silenciosos para el malware Strela Stealer. La operación, rastreada como 'Detour Dog', representa una de las infraestructuras de ataque basadas en DNS más sofisticadas jamás documentadas en el panorama de la ciberseguridad.

La campaña Detour Dog opera comprometiendo configuraciones DNS de sitios web legítimos, creando efectivamente una fábrica de malware que puede distribuir Strela Stealer a visitantes desprevenidos. Cuando los usuarios intentan acceder a estos sitios comprometidos, los registros DNS manipulados los redirigen a través de infraestructura maliciosa que entrega la carga útil del robador de información.

El análisis técnico revela que los atacantes han desarrollado un sistema sofisticado que mantiene la apariencia de funcionalidad normal del sitio web mientras redirige secretamente el tráfico a través de su red maliciosa. Este enfoque permite que la campaña opere sin ser detectada durante períodos prolongados, ya que las medidas de seguridad tradicionales a menudo se centran en el contenido del sitio web en lugar de la integridad del DNS.

Strela Stealer, el malware que se distribuye a través de esta campaña, representa una amenaza significativa tanto para usuarios individuales como para organizaciones. El stealer se especializa en recolectar credenciales de correo electrónico de clientes de email populares, incluidos Microsoft Outlook y Mozilla Thunderbird. Esta capacidad lo hace particularmente peligroso para entornos corporativos donde las cuentas de correo electrónico a menudo sirven como puertas de entrada a información empresarial sensible y sistemas de autenticación adicionales.

La escala de esta operación no tiene precedentes en ataques basados en DNS. Con más de 30.000 sitios web comprometidos en múltiples regiones geográficas y sectores industriales, la campaña demuestra cómo los atacantes están apuntando cada vez más a componentes fundamentales de la infraestructura de internet en lugar de aplicaciones o sistemas individuales.

Los profesionales de seguridad señalan que la campaña Detour Dog destaca varias vulnerabilidades críticas en las prácticas actuales de seguridad DNS. Muchas organizaciones no implementan un monitoreo adecuado para los cambios de DNS, carecen de autenticación multifactor para las interfaces de gestión DNS y no auditan regularmente sus configuraciones DNS en busca de modificaciones no autorizadas.

El vector de infección funciona a través de ingeniería social sofisticada combinada con explotación técnica. Los atacantes inicialmente obtienen acceso a las credenciales de gestión DNS a través de varios medios, incluidos ataques de phishing dirigidos a administradores de sitios web, explotación de vulnerabilidades en software de gestión DNS o compromiso de proveedores de servicios terceros con acceso DNS.

Una vez que los atacantes controlan las configuraciones DNS, implementan redirecciones sutiles que son difíciles de detectar durante la navegación casual. Las redirecciones a menudo se configuran para apuntar a regiones geográficas específicas o agentes de usuario, lo que hace que la actividad maliciosa sea aún más difícil de identificar mediante el monitoreo estándar.

Las recomendaciones defensivas incluyen implementar soluciones de monitoreo DNS que puedan detectar cambios no autorizados, habilitar la autenticación multifactor para todas las interfaces de gestión DNS, auditar regularmente los registros DNS en busca de modificaciones inesperadas e implementar protección de endpoints capaz de detectar malware robador de información como Strela Stealer.

Las organizaciones también deberían considerar implementar DNSSEC (Extensiones de Seguridad del Sistema de Nombres de Dominio) para ayudar a prevenir ataques de suplantación de DNS y envenenamiento de caché. Además, los equipos de seguridad deben monitorear patrones inusuales de tráfico de red que puedan indicar redirección o compromiso del DNS.

El descubrimiento de la campaña Detour Dog sirve como un recordatorio contundente de que los atacantes continúan evolucionando sus técnicas, apuntando a la infraestructura fundamental de internet que muchas organizaciones dan por sentada. A medida que los ataques basados en DNS se vuelven más sofisticados, la comunidad de ciberseguridad debe adaptar sus estrategias defensivas en consecuencia.

Los investigadores de seguridad continúan investigando el alcance completo de la operación Detour Dog y están trabajando con registradores de dominio y proveedores de alojamiento para mitigar la amenaza continua. Se insta a las organizaciones a revisar inmediatamente su postura de seguridad DNS e implementar medidas protectoras adicionales donde sea necesario.