Malware para perros señuelo

Tras realizar un examen exhaustivo de q malware recientemente identificado, Decoy Dog, los investigadores de seguridad cibernética han descubierto que representa un avance considerable en comparación con su base, el troyano de acceso remoto de código abierto Pupy RAT.

El Decoy Dog exhibe una amplia gama de capacidades potentes y no reveladas previamente, lo que lo distingue como una amenaza más sofisticada. Entre sus características notables está la capacidad de reubicar a las víctimas en un controlador alternativo, lo que permite a los actores malintencionados detrás del malware mantener la comunicación con las máquinas comprometidas mientras evaden la detección durante períodos prolongados. Sorprendentemente, ha habido casos en los que las víctimas han interactuado sin saberlo con un servidor Decoy Dog durante más de un año, lo que destaca el sigilo y la resistencia de este software malicioso.

El malware Decoy Dog está equipado con un conjunto ampliado de características amenazantes

El malware identificado recientemente, Decoy Dog, cuenta con varias funcionalidades novedosas que lo distinguen. En particular, Decoy Dog ahora posee la capacidad de ejecutar código Java arbitrario en el cliente, otorgándole una gama más amplia de acciones.

Además, el malware ha sido equipado con un mecanismo que se asemeja a un algoritmo de generación de dominio DNS (DGA) tradicional para conectarse a los controladores de emergencia. Este mecanismo implica diseñar los dominios de Decoy Dog para responder a las consultas de DNS reproducidas que se originan en clientes violados. A través de este enfoque, los actores maliciosos detrás de Decoy Dog pueden redirigir de manera efectiva la comunicación de los dispositivos comprometidos desde su controlador actual a otro. Este comando crítico instruye a los dispositivos comprometidos para que dejen de comunicarse con el controlador actual y establezcan contacto con uno nuevo.

El descubrimiento de este sofisticado conjunto de herramientas se produjo a principios de abril de 2023, impulsado por la detección de actividad anómala de señalización de DNS. Esta revelación sacó a la luz los ataques altamente dirigidos del malware dirigidos específicamente a las redes empresariales.

Los ciberdelincuentes detrás del malware Decoy Dog pueden apuntar a regiones específicas

Los orígenes del Decoy Dog aún no se han establecido definitivamente, pero se sospecha que es operado por un grupo selecto de piratas informáticos del estado-nación. Estos piratas informáticos emplean tácticas distintas al responder a las solicitudes entrantes que se alinean con la estructura de comunicación del cliente, lo que las convierte en una amenaza potente y esquiva en el panorama de la ciberseguridad.

Decoy Dog utiliza efectivamente el sistema de nombres de dominio (DNS) para sus operaciones de comando y control (C2). Cuando un dispositivo se ve comprometido por este malware, establece comunicación con un controlador designado (servidor) a través de consultas de DNS y respuestas de direcciones IP, recibiendo instrucciones del controlador.

Después de ser expuestos por expertos en seguridad cibernética, los actores de amenazas detrás de Decoy Dog actuaron rápidamente al eliminar ciertos servidores de nombres DNS y registrar rápidamente nuevos dominios de reemplazo para garantizar la persistencia remota y el control continuo. Esto les permitió transferir los clientes comprometidos existentes a los nuevos controladores, demostrando su determinación de mantener el acceso a sus víctimas.

El despliegue inicial de Decoy Dog se remonta a fines de marzo o principios de abril de 2022. Desde entonces, se han detectado otros tres grupos del malware, cada uno operado por un controlador diferente. Hasta el momento, se han identificado un total de 21 dominios de Decoy Dog. Además, un conjunto de controladores registrados desde abril de 2023 ha adaptado sus tácticas mediante la implementación de técnicas de geoperimetraje. Esta técnica restringe las respuestas a las direcciones IP de los clientes a ubicaciones geográficas específicas, y la actividad observada se limita predominantemente a las regiones de Rusia y Europa del Este.