«Просто открой SVG-файл»: как одно вложение в письме может отдать компьютер в чужие руки

leer en español

Detour Dog Strela Stealer Infoblox StarFish DNS-записи REM Proxy WordPress
«Просто открой SVG-файл»: как одно вложение в письме может отдать компьютер в чужие руки
Detour Dog Strela Stealer Infoblox StarFish DNS-записи REM Proxy WordPress

Хакеры научились прятать команды там, где антивирусы даже не проверяют.

image

В сложной структуре атак, задействующей вредоносную рекламу, DNS-управление и многоступенчатые схемы доставки, специалисты Infoblox обнаружили деятельность киберпреступника, известного под псевдонимом Detour Dog. Эта группировка управляет инфраструктурой, связанной с распространением трояна Strela Stealer, при этом задействует не только ботнеты, но и уязвимые сайты на WordPress, маскируя активность под легитимный трафик.

Цепочка начинается с заражённого SVG-файла, который при открытии обращается к взломанному ресурсу. Далее на сервер управления отправляется DNS-запрос с текстовой записью (TXT), на который возвращается закодированная команда, содержащая адрес для загрузки следующего этапа вредоносной программы — простой оболочки StarFish.

Эта программа действует как мост между заражённой системой и операторами Strela Stealer, предоставляя им постоянный удалённый доступ.

Инфраструктура Detour Dog используется для размещения начальных этапов атаки и взаимодействует с несколькими ботнетами, включая REM Proxy и Tofsee. Первый из них связан с вредоносом SystemBC и распространялся через маршрутизаторы MikroTik, второй ранее доставлялся через загрузчик PrivateLoader. Именно эти сети и отвечают за массовую рассылку вредоносной почты, содержащей вложения, приводящие к заражению.

Специалисты подчёркивают, что ключевой особенностью кампании стала передача управляющих команд через DNS-записи формата TXT, что делает трафик трудноотслеживаемым и усложняет детектирование. Вредоносные DNS-серверы, контролируемые Detour Dog, умеют анализировать специальные запросы и в ответ передавать инструкции на выполнение произвольного кода.

При этом заражённые сайты ведут себя как обычные, лишь в редких случаях перенаправляя пользователей на мошеннические страницы или исполняя вредоносный код. Подобная тактика снижает вероятность обнаружения и позволяет сохранять контроль над инфраструктурой длительное время.

Первоначально Detour Dog использовался как механизм перенаправления трафика на фальшивые сайты и скам-ресурсы, связанные с компанией Los Pollos из экосистемы VexTrio. Однако с 2025 года группа переключилась на активное распространение вредоносных программ, предположительно из-за снижения доходности прежней схемы.

С июля по август Infoblox и Shadowserver Foundation смогли обезвредить два домена, принадлежавших атакующей стороне, — webdmonitor[.]io и aeroarrows[.]io. Тем не менее активность инфраструктуры сохраняется. Более того, были найдены признаки того, что через эту сеть распространялись и другие вредоносы, не связанные напрямую со Strela Stealer, что позволяет предположить, что Detour Dog предоставляет услуги по доставке вредоносного ПО сторонним клиентам.

Вся схема построена таким образом, чтобы скрыть исходную точку заражения, распределить компоненты атаки по разным серверам и ввести в заблуждение тех, кто анализирует вложения в почте. Заражённые сайты выступают в роли промежуточных звеньев, ретранслируя команды и файлы между оператором и жертвой, что делает систему устойчивой и затрудняет её полное отключение.