Jangan terlalu khawatir, tapi puluhan ribu sah-sah saja situs web di seluruh dunia kini diam-diam melakukan perintah terhadap penjahat dunia maya.
Di balik apa yang tampak seperti beranda biasa, perangkat lunak perusak menggunakan Sistem Nama Domain (DNS) – protokol yang sama yang pada dasarnya “menjalankan” internet, menerjemahkan alamat web menjadi nomor IP – untuk secara diam-diam menghubungi server yang dikendalikan penyerang dan memutuskan siapa yang dialihkan, terinfeksi, atau dibiarkan sendiri.
Yang tersisa hanyalah lapisan kompromi tak terlihat yang tidak akan pernah terdeteksi oleh sebagian besar pengunjung, dan bahkan banyak alat keamanan.
Wakil Presiden Ancaman Intel untuk Infoblox.
Pelakunya, yang oleh peneliti kami diberi nama “Detour Dog,” adalah operasi malware yang sudah berjalan lama dan dengan cerdik berevolusi dari menjalankan penipuan iklan menjadi menyebarkan malware yang mampu mencuri informasi. Kejeniusan kampanye ini terletak pada penyesatan dan penyamaran.
Situs yang Anda lihat saat menjelajah internet mungkin terlihat bagus, tapi situs itu milik Anda peramban pembicaraan di belakang layar mungkin “menerima” perintah dari infrastruktur kriminal di belahan dunia lain – oleh karena itu diberi label “Anjing Memutar”.
Dalam beberapa bulan terakhir, itu infrastruktur telah digunakan untuk mengirimkan Strela Stealer, di mana lampiran yang terinfeksi di email memicu saluran DNS tersembunyi untuk mengambil dan mengeksekusi malware.
Jangkauan Detour Dog cukup mencengangkan. Lebih dari 30.000 situs web telah disusupi, secara kolektif menghasilkan jutaan kueri data TXT DNS per jam, yang masing-masing merupakan sinyal potensial untuk eksekusi atau pengalihan kode jarak jauh.
Karena logika jahat berjalan di server web itu sendiri, logika tersebut tidak meninggalkan jejak yang terlihat di mesin pengguna. Sebagian besar kunjungan tampaknya sepenuhnya sah. Hanya sebagian kecil, kira-kira satu dari sepuluh, yang memicu tindakan jahat apa pun, sehingga sangat sulit untuk dideteksi atau direproduksi.
Apa yang kita lihat adalah kampanye diam-diam yang dapat bertahan selama lebih dari satu tahun pada domain yang sama, secara diam-diam menyedot data, mengalihkan lalu lintas, dan menggunakan salah satu sistem paling tepercaya di Internet – DNS – untuk melawan dirinya sendiri.
Apakah Anda memperhatikan dengan cermat?
Hampir setua internet itu sendiri, DNS adalah sistem yang menerjemahkan nama seperti TechRadar.com menjadi alamat numerik yang dibutuhkan browser Anda untuk terhubung dengannya. Saat dibuat tidak dirancang dengan keamanan tantangan tahun 2025, dan itu adalah masalah yang terus-menerus terjadi, namun Detour Dog telah menemukan cara untuk sepenuhnya memanfaatkannya.
Alih-alih menggunakan DNS untuk menyelesaikan pertanyaan yang sah, malware menggunakannya sebagai saluran perintah rahasia, menyembunyikan instruksi dalam apa yang disebut “catatan TXT” – bidang yang biasanya digunakan untuk data konfigurasi yang tidak berbahaya atau e-mail verifikasi.
Saat situs web yang disusupi membuat salah satu kueri DNS ini, server nama penyerang membalas dengan pesan berkode: terkadang “tidak melakukan apa pun”, terkadang mengalihkan pengunjung ke tempat lain, dan terkadang mengambil dan mengeksekusi konten berbahaya.
Karena semua ini terjadi di sisi server, hal ini tidak terlihat oleh orang yang menjelajahi situs dan hampir tidak mungkin dikenali oleh perlindungan titik akhir tradisional. Perangkat lunak perlindungan virus Anda tidak bagus di sini.
Ini sangat luas, namun juga sangat sederhana. Dengan mengubah pencarian DNS itu sendiri menjadi mekanisme kontrol, Detour Dog menghindari tanda bahaya yang biasa terjadi pada infeksi malware standar. Tidak ada unduhan yang mencurigakan, tidak ada pop-up, tidak ada proses baru untuk dianalisis – hanya situs web yang diam-diam mengikuti instruksi yang tidak seharusnya.
Ini setara dengan trik sulap digital: saat pemain bertahan mengawasi satu tangan pesulap, aksi sebenarnya terjadi di balik lengan atau di belakang punggung mereka.
Hasilnya adalah tipu muslihat distribusi malware, di mana setiap permintaan terlihat sah dan lokasi sebenarnya dari muatannya selalu berjarak satu langkah dari perkiraan siapa pun.
Mulai dari penipuan hingga pencurian
Ketika Detour Dog pertama kali muncul, tujuannya tampak remeh jika dibandingkan dengan serangan lainnya. Situs yang terinfeksi “hanya” mengarahkan pengguna ke penipuan online dan halaman CAPTCHA palsu yang dirancang untuk mengumpulkan klik dan pendapatan iklan. Namun sekitar akhir tahun 2024, operasi tersebut berubah menjadi lebih gelap.
Infrastruktur yang sama yang pernah menyalurkan lalu lintas ke jaringan periklanan yang meragukan mulai bertindak sebagai platform pengiriman malware yang serius.
Pada pertengahan tahun 2025, program ini digunakan untuk mendistribusikan Strela Stealer, sebuah program pencuri informasi yang menyebar melalui lampiran email berbahaya yang dapat mengambil data browser, kredensial yang disimpan, dan informasi sistem.
Detour Dog tidak menghosting malware secara langsung. Sebaliknya, ia bertindak sebagai relai DNS, yang secara diam-diam mengambil muatan jarak jauh dari yang dikendalikan penyerang server dan melayani mereka melalui situs web yang disusupi itu sendiri.
Jadi, apa itu Detour Dog, Anda bertanya? Itu masih merupakan pertanyaan yang sulit. Tidak diketahui apakah Detour Dog adalah penyedia layanan atau secara bersamaan menjalankan kampanyenya sendiri. Namun kita tahu bahwa pelaku ancaman mengizinkan aktor lain seperti Hive0145 yang terkenal untuk mendistribusikan muatan mereka sendiri melalui saluran Detour Dog.
Tim kami menemukan bahwa lebih dari dua pertiga domain pementasan yang terkait dengan kampanye ini dikendalikan oleh Detour Dog, yang menunjukkan bahwa operasi tersebut secara efektif menawarkan pengiriman untuk disewa.
Untuk pengguna biasa seperti Anda dan saya, ini berarti bahwa satu klik pada situs web yang tampaknya aman atau email faktur yang tampak sah dapat memicu reaksi berantai yang tidak terlihat: permintaan DNS, perintah eksekusi jarak jauh, dan akhirnya, infeksi diam-diam yang dapat mengakibatkan kerusakan pada sistem Anda. data dicuri.
Spam, botnet, dan rantai pasokan kriminal baru
Email tetap menjadi salah satu pemicu utama bagi banyak rantai ini. Lampiran berbahaya (seringkali faktur palsu atau sejenisnya) memulai proses multi-tahap yang tidak selalu mengambil “payload” akhir langsung dari dokumen.
Sebaliknya, lampiran tersebut mengarah ke domain yang disusupi yang berkonsultasi dengan server nama Detour Dog untuk mendapatkan petunjuk, sehingga mengubah satu klik menjadi unduhan dan relai di sisi server.
Dalam kampanye yang kami dan peneliti eksternal periksa, REM Proxy (botnet berbasis MikroTik) dan Tofsee menangani pengiriman massal, sementara Detour Dog menyediakan hosting tempel dan relay DNS yang menutupi asal mula malware yang sebenarnya.
Hasilnya tampaknya adalah ekonomi “as-a-service”: satu kelompok mengirim spam, kelompok lain memasok hosting tangguh dan DNS C2, dan kelompok ketiga (misalnya, operator Strela Stealer Hive0145) memasok muatannya.
Analisis kami menemukan sekitar 69% domain staging yang dilaporkan selama jangka waktu yang diamati berada di bawah kendali Detour Dog, yang menunjukkan bahwa infrastruktur tersebut disewa atau digunakan kembali sebagai backend pengiriman daripada melayani satu kampanye.
Pembagian kerja tersebut membuat penghapusan dan atribusi menjadi lebih sulit, karena jika Anda menghapus satu node, operator akan dengan cepat mengubah rute atau melakukan penggantian, dan hal ini akan memaksa pembela HAM untuk merespons melalui pemfilteran email dan kecerdasan lapisan DNS untuk memblokir perintah data TXT yang terselubung sebelum perintah tersebut terpicu di hilir.
Detour Dog adalah pengingat bahwa beberapa ancaman paling berbahaya dapat bertahan hanya dengan sekali klik. Dengan memanfaatkan DNS itu sendiri, penyerang telah menemukan cara untuk mengubah lalu lintas web sehari-hari menjadi sistem pengiriman rahasia untuk malware dan pencurian data. Satu-satunya cara untuk melawannya adalah dengan memperlakukan DNS sebagai lapisan pertahanan garis depan.
Kami telah menampilkan kursus keamanan siber online terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
