Phi Vũ
New member
Hàng chục nghìn website hợp pháp đang bị lợi dụng để phục vụ chiến dịch mã độc tinh vi. Chiến dịch mang tên "Detour Dog" dùng kênh DNS ẩn để điều khiển, chuyển hướng và phát tán phần mềm đánh cắp thông tin.
Một chiến dịch mã độc quy mô lớn, được các nhà nghiên cứu gọi là "Detour Dog", đang âm thầm lợi dụng hàng chục nghìn website hợp pháp trên toàn cầu. Bên dưới giao diện trang web bình thường là logic độc hại chạy trên máy chủ, liên lạc với hạ tầng của kẻ tấn công qua hệ thống DNS.
DNS vốn là hệ thống dịch tên miền thành địa chỉ IP, nhưng Detour Dog biến nó thành kênh lệnh bí mật bằng cách sử dụng bản ghi TXT — trường dữ liệu thường dùng cho cấu hình hoặc xác thực email. Khi một trang bị tấn công thực hiện truy vấn DNS, máy chủ tên do kẻ xấu kiểm soát sẽ trả về thông điệp mã hóa: đôi khi là lệnh không làm gì, đôi khi là yêu cầu chuyển hướng hoặc lệnh tải và thực thi mã độc.
Điểm nguy hiểm là mã độc hoạt động hoàn toàn phía máy chủ, nên hầu hết người truy cập không thấy dấu hiệu bất thường trên thiết bị của mình. Chỉ một phần nhỏ lượt truy cập (khoảng một phần mười) kích hoạt hành động độc hại, khiến việc phát hiện và tái hiện cuộc tấn công trở nên rất khó khăn. Chiến dịch này có thể tồn tại nhiều tháng, thậm chí hơn một năm trên cùng một tên miền mà không bị phát hiện.
Quy mô của Detour Dog đáng chú ý: hơn 30.000 website bị xâm phạm, tạo ra hàng triệu truy vấn bản ghi TXT mỗi giờ — mỗi truy vấn có thể là tín hiệu cho việc thực thi mã từ xa hoặc chuyển hướng nạn nhân. Trong vài tháng gần đây, hạ tầng này đã được dùng để phát tán Strela Stealer, một chương trình đánh cắp thông tin; các tệp đính kèm email độc hại có thể kích hoạt kênh DNS ẩn để tải về và chạy mã độc.
Chiến dịch này tiến hóa từ những vụ lừa đảo quảng cáo sang phát tán phần mềm đánh cắp dữ liệu: ban đầu các trang bị nhiễm chỉ chuyển hướng người dùng tới các trang quảng cáo hoặc CAPTCHA giả mạo để thu lợi, nhưng từ cuối 2024 đến giữa 2025, hạ tầng đã bắt đầu phân phối mã độc nguy hiểm hơn.
Vì hành vi diễn ra trên máy chủ và lợi dụng chính cơ chế lookup của DNS, các phần mềm bảo vệ điểm cuối truyền thống thường không phát hiện được. Để giảm rủi ro, tổ chức nên tăng cường theo dõi và ghi nhật ký truy vấn DNS (đặc biệt bản ghi TXT), giới hạn truy xuất DNS từ máy chủ web, kiểm tra và vá lỗ hổng trên máy chủ, áp dụng kiểm soát chặt chẽ các tệp đính kèm email và lọc nội dung đầu vào. Việc triển khai DNSSEC, giám sát bất thường về lưu lượng DNS và phản ứng sự cố kịp thời cũng là những biện pháp hữu ích để giảm thiểu tác động của các chiến dịch lạm dụng DNS như Detour Dog.
Nguồn: Techradar
Một chiến dịch mã độc quy mô lớn, được các nhà nghiên cứu gọi là "Detour Dog", đang âm thầm lợi dụng hàng chục nghìn website hợp pháp trên toàn cầu. Bên dưới giao diện trang web bình thường là logic độc hại chạy trên máy chủ, liên lạc với hạ tầng của kẻ tấn công qua hệ thống DNS.
DNS vốn là hệ thống dịch tên miền thành địa chỉ IP, nhưng Detour Dog biến nó thành kênh lệnh bí mật bằng cách sử dụng bản ghi TXT — trường dữ liệu thường dùng cho cấu hình hoặc xác thực email. Khi một trang bị tấn công thực hiện truy vấn DNS, máy chủ tên do kẻ xấu kiểm soát sẽ trả về thông điệp mã hóa: đôi khi là lệnh không làm gì, đôi khi là yêu cầu chuyển hướng hoặc lệnh tải và thực thi mã độc.
Điểm nguy hiểm là mã độc hoạt động hoàn toàn phía máy chủ, nên hầu hết người truy cập không thấy dấu hiệu bất thường trên thiết bị của mình. Chỉ một phần nhỏ lượt truy cập (khoảng một phần mười) kích hoạt hành động độc hại, khiến việc phát hiện và tái hiện cuộc tấn công trở nên rất khó khăn. Chiến dịch này có thể tồn tại nhiều tháng, thậm chí hơn một năm trên cùng một tên miền mà không bị phát hiện.
Quy mô của Detour Dog đáng chú ý: hơn 30.000 website bị xâm phạm, tạo ra hàng triệu truy vấn bản ghi TXT mỗi giờ — mỗi truy vấn có thể là tín hiệu cho việc thực thi mã từ xa hoặc chuyển hướng nạn nhân. Trong vài tháng gần đây, hạ tầng này đã được dùng để phát tán Strela Stealer, một chương trình đánh cắp thông tin; các tệp đính kèm email độc hại có thể kích hoạt kênh DNS ẩn để tải về và chạy mã độc.
Chiến dịch này tiến hóa từ những vụ lừa đảo quảng cáo sang phát tán phần mềm đánh cắp dữ liệu: ban đầu các trang bị nhiễm chỉ chuyển hướng người dùng tới các trang quảng cáo hoặc CAPTCHA giả mạo để thu lợi, nhưng từ cuối 2024 đến giữa 2025, hạ tầng đã bắt đầu phân phối mã độc nguy hiểm hơn.
Vì hành vi diễn ra trên máy chủ và lợi dụng chính cơ chế lookup của DNS, các phần mềm bảo vệ điểm cuối truyền thống thường không phát hiện được. Để giảm rủi ro, tổ chức nên tăng cường theo dõi và ghi nhật ký truy vấn DNS (đặc biệt bản ghi TXT), giới hạn truy xuất DNS từ máy chủ web, kiểm tra và vá lỗ hổng trên máy chủ, áp dụng kiểm soát chặt chẽ các tệp đính kèm email và lọc nội dung đầu vào. Việc triển khai DNSSEC, giám sát bất thường về lưu lượng DNS và phản ứng sự cố kịp thời cũng là những biện pháp hữu ích để giảm thiểu tác động của các chiến dịch lạm dụng DNS như Detour Dog.
Nguồn: Techradar
Bài viết liên quan
