Um grupo de cibercriminosos identificado como Detour Dog foi revelado como responsável por campanhas que distribuem um information stealer chamado Strela Stealer.
Essa descoberta foi feita pela Infoblox, empresa especializada em inteligência de DNS, que identificou o controle de Detour Dog sobre os domínios usados na primeira etapa do malware, uma backdoor chamada StarFish.
A Infoblox monitora o Detour Dog desde agosto de 2023, após o relatório da Sucuri — empresa ligada à GoDaddy — que detalhou ataques contra sites WordPress.
Nessas ações, os criminosos inseriam códigos JavaScript maliciosos que usavam registros DNS TXT para comunicação, por meio de um sistema de distribuição de tráfego (TDS).
O objetivo era redirecionar visitantes para sites duvidosos ou infectados com malware.
Registros do grupo no cenário de ameaças remontam a fevereiro de 2020.
Tradicionalmente, esses redirecionamentos levavam a golpes online, mas o malware evoluiu.
Agora, ele pode executar conteúdo remoto via um sistema de comando e controle (C2) baseado em DNS.
"Estamos acompanhando o ator de ameaça que controla esse malware e o chamamos de Detour Dog", afirmou a Infoblox.
A infraestrutura controlada por Detour Dog hospeda o StarFish, uma simples reverse shell que serve como porta para o Strela Stealer.
Um relatório da IBM X-Force, publicado em julho de 2025, revelou que a backdoor é distribuída por arquivos SVG maliciosos, permitindo acesso persistente às máquinas comprometidas.
O grupo Hive0145, que opera exclusivamente com campanhas do Strela Stealer desde pelo menos 2022, é motivado financeiramente e provavelmente atua como um initial access broker (IAB), adquirindo e vendendo acessos a sistemas invadidos.
Análises da Infoblox indicam que pelo menos 69% dos servidores de staging do StarFish estão sob controle do Detour Dog.
Além disso, um botnet MikroTik, conhecido como REM Proxy — que utiliza o malware SystemBC, identificado recentemente pela Lumen Black Lotus Labs — faz parte da cadeia de ataque.
Os emails de spam que disseminam o Strela Stealer partem do REM Proxy e de outro botnet chamado Tofsee.
Este último já foi difundido via um loader em C++ conhecido como PrivateLoader.
Em ambos os casos, a infraestrutura do Detour Dog hospeda a primeira etapa do ataque.
"Estes bots foram contratados para enviar spam e Detour Dog, foi contratado para entregar o malware," explicou Dr. Renée Burton, vice-presidente de inteligência de ameaças da Infoblox, ao The Hacker News.
Além disso, o grupo Detour Dog utiliza registros DNS TXT para facilitar a distribuição do stealer.
Os servidores DNS controlados por eles foram modificados para interpretar consultas DNS formatadas especialmente pelos sites comprometidos e responder com comandos para execução remota de código.
Para incluir nova infraestrutura, Detour Dog explora vulnerabilidades em sites WordPress por meio de injeções de código malicioso, embora as táticas tenham evoluído.
Curiosamente, cerca de 90% dos sites infectados continuam funcionando normalmente, o que evita suspeitas e mantém o malware ativo por mais tempo.
Em cerca de 9% dos casos, visitantes são redirecionados a golpes online via TDS Help ou Monetizer; em aproximadamente 1%, o site recebe comandos para executar arquivos remotamente.
Essa limitação nos redirecionamentos ajuda a evitar detecção.
Esse avanço representa a primeira vez que o Detour Dog foi observado distribuindo malware, rompendo com seu papel anterior, restrito ao redirecionamento de tráfego para a Los Pollos — uma empresa de publicidade maliciosa ligada ao grupo VexTrio Viper.
"Acreditamos que evoluíram dos golpes para a distribuição de malware por motivos financeiros", comentou Burton.
"Nos últimos 12 a 18 meses, a indústria de segurança tem se empenhado em combater os golpes que Detour Dog apoiava.
Suspeitamos que eles vinham gerando menos lucro, embora não possamos confirmar."
O malware hospedado nos sites controlados por Detour Dog também evoluiu, ganhando a capacidade de comandar a execução remota de código nesses sites.
Em junho de 2025, foi observado que as respostas DNS direcionavam os sites infectados a buscar a saída de scripts PHP nos servidores C2 do Strela Stealer, sugerindo o uso duplo do DNS como canal de comunicação e mecanismo de entrega do malware.
As respostas a consultas via TXT record são codificadas em Base64 e incluem explicitamente a palavra "down" para disparar essa nova ação.
Segundo a Infoblox, esse método cria um modelo inovador de distribuição de malware em rede via DNS, em que diferentes estágios do ataque são buscados e retransmitidos por hosts controlados pelo ator, quando o usuário interage com iscas, como anexos de email.
Essa técnica permite ao atacante ocultar sua identidade atrás de sites comprometidos, tornando suas operações mais resilientes e dificultando a identificação por parte de especialistas, uma vez que o malware não está diretamente hospedado no local indicado pelos arquivos analisados.
O processo de ataque segue os seguintes passos:
1. A vítima abre um documento malicioso, que lança um arquivo SVG que acessa um domínio infectado.
2. O site comprometido faz uma consulta TXT ao servidor C2 do Detour Dog via DNS.
3. O servidor DNS responde com um registro TXT contendo uma URL do Strela C2, prefixada com "down".
4. O site remove o prefixo "down" e usa curl para possivelmente baixar o downloader StarFish da URL.
5. O site comprometido age como intermediário para enviar o downloader ao cliente (vítima).
6. O downloader realiza chamada a um segundo domínio comprometido.
7. O segundo domínio faz uma consulta TXT semelhante ao servidor C2 do Detour Dog.
8. O servidor responde com outra URL Strela C2, novamente prefixada com "down".
9. O segundo domínio retira o prefixo e usa curl para buscar o StarFish.
10. Esse segundo domínio também atua como relay para enviar o malware ao cliente.
A Infoblox colaborou com a Shadowserver Foundation para sinkhole (desativar) dois domínios C2 do Detour Dog — webdmonitor[.]io e aeroarrows[.]io — em 30 de julho e 6 de agosto de 2025.
A empresa também destacou que o grupo possivelmente atua como um serviço de distribuição (distribution-as-a-service, DaaS), já que encontrou evidências de um “arquivo aparentemente não relacionado” propagado por sua infraestrutura, embora não tenha conseguido confirmar o conteúdo entregue.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...