Decoy Dog: Un nuevo y peligroso troyano que aprovecha el DNS

Infoblox ha dado a conocer un segundo informe de amenazas con información actualizada sobre “Decoy Dog”, un troyano de acceso remoto (RAT) que fue descubierto y divulgado por primera vez en abril de 2023. Este malware utiliza el sistema de nombres de dominio (DNS) para establecer el comando y control (C2) y se sospecha que está vinculado a ataques cibernéticos realizados por actores estatales.

Después de que Infoblox hiciera público el hallazgo del malware, los actores de amenazas respondieron rápidamente, adaptando sus sistemas para mantener el acceso a dispositivos comprometidos, lo que sugiere que seguir teniendo control sobre las víctimas es una prioridad clave para ellos. Desde entonces, el uso de Decoy Dog se ha extendido, con al menos tres actores diferentes operándolo.

Aunque el malware se basa en el código abierto Pupy RAT, Decoy Dog es una variante completamente nueva y desconocida hasta entonces, con múltiples características que le permiten persistir en dispositivos comprometidos. Se sospecha que hackers de estado-nación están detrás de esta amenaza.

La importancia crucial del monitoreo DNS

La importancia del DNS en la defensa contra Decoy Dog ha sido destacada por Infoblox, y enfatizan que aquellos que no monitorean su DNS corren un riesgo significativo. Infoblox continúa rastreando y analizando la amenaza, y ha desarrollado algoritmos de detección DNS sofisticados para mitigar otras posibles amenazas ocultas.

Infoblox ha estado monitoreando de cerca 20 dominios asociados con Decoy Dog y ha aprendido más sobre sus actividades y comunicaciones. El malware ha demostrado la capacidad de permanecer oculto durante largos períodos de tiempo y mantener la comunicación con dispositivos comprometidos, lo que lo convierte en una amenaza continua y seria.

Scott Harrell, presidente y CEO de Infoblox, ha destacado: “Es intuitivo que DNS debería ser la primera línea de defensa para que las organizaciones detecten y mitiguen amenazas como Decoy Dog. Infoblox es la solución líder en la industria para la Detección y Respuesta DNS, brindando a las empresas una defensa integral que otras soluciones XDR pasarían por alto. Como se demostró con Decoy Dog, estudiar y comprender profundamente las tácticas y técnicas del atacante nos permite bloquear amenazas antes de que se conozcan como malware”.

Protección con BloxOne Threat Defense

La empresa Infoblox ha lanzado BloxOne Threat Defense, un sistema de Detección y Respuesta DNS, como una solución líder en la industria para protegerse contra Decoy Dog y amenazas similares. Además, Infoblox ha instado a la industria a investigar más sobre Decoy Dog y compartir sus hallazgos para un mejor entendimiento de la amenaza.

La Dra. Renée Burton, Jefa de Inteligencia de Amenazas de Infoblox, ha añadido: “La falta de conocimiento sobre los sistemas y vulnerabilidades de las víctimas que están siendo explotadas hace que Decoy Dog sea una amenaza continua y seria. La mejor defensa contra este malware es el DNS. La actividad maliciosa a menudo pasa desapercibida porque el DNS está subvalorado como un componente crítico en el ecosistema de seguridad. Solo las empresas con una estrategia DNS protectora sólida pueden protegerse de este tipo de amenazas ocultas”.

No Subestimes el DNS en la Seguridad

Infoblox subraya el potencial oculto del DNS en la seguridad, ya que muchos malwares, incluido Decoy Dog, utilizan DNS de alguna forma para sus operaciones. Han lanzado un libro llamado “The Hidden Potential of DNS in Security”, que proporciona información valiosa sobre cómo el malware explota el DNS y cómo la Detección y Respuesta DNS pueden frustrar estos ataques.

La conferencia Black Hat en Las Vegas ofrece la oportunidad de reunirse con el equipo de expertos de Infoblox y obtener más información sobre Decoy Dog/Pupy en el stand #1286 el 9 y 10 de agosto. También habrá demostraciones prácticas para entender mejor cómo se utiliza el tráfico DNS en estas amenazas y cómo defenderse.