นักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยการค้นพบมัลแวร์ที่อันตรายซึ่งใช้ระบบ DNS เป็นช่องทางในการควบคุม โดยมีเว็บไซต์ที่ถูกบุกรุกแล้วกว่า 30,000 แห่งทั่วโลก มัลแวร์ชื่อ DetourDog นี้กำลังถูกใช้เป็นเครื่องมือในการแพร่กระจาย Strela Stealer ซึ่งเป็นมัลแวร์ประเภทขโมยข้อมูลที่กำหนดเป้าหมายไปยังผู้ใช้งานอีเมล
มัลแวร์ที่ซ่อนตัวในระบบ DNS
DetourDog เป็น malware toolkit ที่ใช้ DNS (Domain Name System) สำหรับการสื่อสารแบบ Command and Control (C2) ทำให้ระบบที่ถูกบุกรุกสามารถติดต่อกับผู้โจมตีผ่าน DNS queries โดยไม่เปิดเผยตัวตน การใช้ DNS ในลักษณะนี้ทำให้มัลแวร์สามารถหลบเลี่ยงระบบรักษาความปลอดภัยทั่วไปได้ง่าย เนื่องจาก DNS traffic เป็นการสื่อสารพื้นฐานที่จำเป็นสำหรับการทำงานของอินเทอร์เน็ต
Strela Stealer กำหนดเป้าหมายผู้ใช้อีเมล
มัลแวร์ Strela Stealer ที่ถูกส่งผ่านเว็บไซต์ที่ติดเชื้อมีเป้าหมายหลักคือการขโมย login credentials จากโปรแกรมอีเมล โดยเฉพาะ Microsoft Outlook และ Mozilla Thunderbird รายงานจากนักวิจัยระบุว่ามีการโจมตีอย่างหนักในภูมิภาคยุโรป รวมถึงสเปน อิตาลี เยอรมนี โปแลนด์ และยูเครน รวมถึงสหรัฐอเมริกา โดยมีองค์กรกว่า 100 แห่งที่ได้รับผลกระทบจากการโจมตีครั้งนี้
วิธีการโจมตีที่ซับซ้อน
ผู้โจมตีใช้เทคนิค phishing ที่ได้รับการพัฒนาอย่างต่อเนื่อง โดยส่งอีเมลที่ปลอมแปลงให้ดูเหมือนใบแจ้งหนี้หรือเอกสารทางธุรกิจที่ถูกต้อง แต่แนบไฟล์ ZIP ที่มี malware loader แทนเอกสารจริง อีเมลเหล่านี้ถูกเขียนขึ้นในภาษาท้องถิ่นของประเทศเป้าหมาย ทำให้ดูน่าเชื่อถือและยากต่อการสังเกต เมื่อเหยื่อเปิดไฟล์ Strela Stealer จะถูกติดตั้งและเริ่มดักจับข้อมูล login ทั้งหมดที่ถูกบันทึกในโปรแกรมอีเมล
ภัยคุกคามที่ยังคงดำเนินต่อ
แม้ว่า Strela Stealer จะถูกค้นพบครั้งแรกตั้งแต่ปลายปี 2022 แต่มัลแวร์ตัวนี้ยังคงมีการพัฒนาและปรับปรุงเทคนิคเพื่อหลบเลี่ยงการตรวจจับอยู่เสมอ การใช้ DetourDog เป็นช่องทาง C2 ผ่าน DNS ทำให้มัลแวร์สามารถดำเนินการได้โดยไม่ถูกสังเกตเป็นเวลานานกว่าหนึ่งปี ผู้ใช้งานและองค์กรควรระมัดระวังเป็นพิเศษกับอีเมลที่มาพร้อมไฟล์แนบ โดยเฉพาะที่อ้างว่าเป็นใบแจ้งหนี้หรือเอกสารทางการเงิน และควรใช้โซลูชันรักษาความปลอดภัยที่สามารถตรวจจับ DNS tunneling และ anomalous DNS traffic ได้