Decoy Dog Malware - uma atualização do Pupy RAT

Recentemente, pesquisadores de segurança cibernética conduziram uma investigação completa sobre um malware recém-descoberto chamado Decoy Dog e descobriram que ele representa uma melhoria significativa em relação ao Pupy RAT, um trojan de acesso remoto de código aberto que serviu como base.

De acordo com um relatório divulgado pela Infoblox, o Decoy Dog possui uma gama de recursos poderosos e desconhecidos anteriormente. Notavelmente, ele possui a capacidade de transferir as vítimas para um controlador alternativo, permitindo assim a comunicação contínua com máquinas comprometidas e facilitando longos períodos de ocultação. Surpreendentemente, algumas vítimas mantiveram comunicação ativa com um servidor Decoy Dog por mais de um ano.

Decoy Dog atualizado com novos recursos

Entre seus recursos recém-adicionados, o Decoy Dog pode executar código Java arbitrário no cliente e estabelecer conexões com controladores de emergência usando um mecanismo que lembra o tradicional algoritmo de geração de domínio DNS (DGA). Esse mecanismo garante que os domínios Decoy Dog possam responder com eficácia às consultas DNS repetidas de clientes violados.

A Dra. Renée Burton, chefe de inteligência de ameaças da Infoblox, enfatizou que o Decoy Dog oferece funcionalidades que não estavam presentes no Pupy. Digno de nota é um comando que instrui o dispositivo comprometido a interromper a comunicação com o controlador atual e, em vez disso, se envolver com outro. Essa descoberta foi possível por meio da análise estatística das consultas DNS.

A descoberta do malware remonta ao início de abril de 2023, quando a Infoblox detectou atividades incomuns de sinalização de DNS, revelando seus ataques direcionados contra redes corporativas. As origens exatas do Decoy Dog permanecem envoltas em mistério, mas suspeita-se que seja obra de um seleto grupo de hackers de estado-nação. Apesar de usar táticas distintas, esses agentes de ameaças respondem a solicitações de entrada que correspondem à estrutura de comunicação dos clientes.

O Decoy Dog funciona explorando o sistema de nome de domínio (DNS) para realizar suas operações de comando e controle (C2). Os endpoints comprometidos se comunicam com um controlador (ou servidor) por meio de consultas DNS e respostas de endereço IP, recebendo instruções no processo.

Em resposta a divulgações anteriores, os agentes de ameaças adaptaram rapidamente sua infraestrutura de ataque. Eles derrubaram certos servidores de nomes DNS e registraram novos domínios substitutos para garantir a persistência remota.

Datas iniciais de implantação do Decoy Dog até 2022

A primeira instância conhecida da implantação do Decoy Dog remonta ao final de março ou início de abril de 2022, seguida pela detecção de três outros clusters sob o controle de diferentes controladores. Até agora, um total de 21 domínios Decoy Dog foram identificados.

Para aumentar a intriga, um conjunto de controladores registrados desde abril de 2023 incorporou geofencing como uma técnica para limitar as respostas a endereços IP de clientes de locais específicos. Notavelmente, a atividade observada foi restrita à Rússia e à Europa Oriental.