Não fique muito alarmado, mas dezenas de milhares de legítimos sites em todo o mundo estão agora silenciosamente obedecendo às ordens dos cibercriminosos.
Por trás do que parece ser uma página inicial normal, malware está usando o Sistema de Nomes de Domínio (DNS) – o mesmo protocolo que basicamente “executa” a Internet, traduzindo endereços da web em números IP – para contatar secretamente servidores controlados por invasores e decidir quem será redirecionado, infectado ou deixado em paz.
O que resta é uma camada invisível de comprometimento que a maioria dos visitantes, e até mesmo muitas ferramentas de segurança, nunca detectarão.
Vice-presidente de ameaças Intel da Infoblox.
O culpado, que nossos pesquisadores chamaram de “Detour Dog”, é uma operação de malware de longa duração que evoluiu astuciosamente da execução de golpes publicitários para a distribuição de malware poderoso para roubo de informações. A genialidade desta campanha reside na má orientação e no disfarce.
O site que você vê quando navega na Internet pode parecer bom, mas aquele que você navegador As conversas nos bastidores podem estar “buscando” comandos de uma infraestrutura criminosa do outro lado do mundo – daí o rótulo “Detour Dog”.
Nos últimos meses, isso infraestrutura foi usado para entregar o Strela Stealer, onde anexos infectados em e-mails acionam o canal DNS oculto para buscar e executar malware.
O alcance do Detour Dog é bastante impressionante. Mais de 30.000 sites foram comprometidos, gerando coletivamente milhões de consultas de registros DNS TXT por hora, cada uma delas um sinal potencial para execução ou redirecionamento remoto de código.
Como a lógica maliciosa é executada no próprio servidor web, ela não deixa rastros visíveis na máquina do usuário. A maioria das visitas parece totalmente legítima. Apenas uma pequena fração, aproximadamente uma em cada dez, desencadeia qualquer tipo de ação maliciosa, o que torna extraordinariamente difícil a sua deteção ou reprodução.
O que estamos a ver é uma campanha furtiva que pode persistir durante mais de um ano no mesmo domínio, desviando silenciosamente dados, redireccionando o tráfego e armando um dos sistemas mais fiáveis da Internet – o DNS – contra si próprio.
Você está observando de perto?
Quase tão antigo quanto a própria Internet, DNS é o sistema que traduz um nome como TechRadar.com no endereço numérico que seu navegador precisa para se conectar a ele. Quando criado não foi projetado com o segurança desafios de 2025 em mente, e esse é um problema persistente, mas Detour Dog encontrou uma maneira de transformá-lo completamente em uma arma.
Em vez de usar o DNS para resolver consultas legítimas, o malware o utiliza como um canal de comando secreto, ocultando instruções nos chamados “registros TXT” – campos normalmente usados para dados de configuração inofensivos ou e-mail verificação.
Quando um site comprometido faz uma dessas consultas DNS, o servidor de nomes do invasor responde com uma mensagem codificada: às vezes para “não fazer nada”, às vezes para redirecionar o visitante para outro lugar e, ocasionalmente, para buscar e executar conteúdo malicioso.
Como tudo isso acontece no lado do servidor, é invisível para a pessoa que navega no site e é quase impossível ser detectado pela proteção tradicional de endpoint. Seu software de proteção contra vírus não é bom aqui.
É incrivelmente difundido, mas também surpreendentemente simples. Ao transformar a própria pesquisa de DNS em um mecanismo de controle, o Detour Dog evita os sinais de alerta habituais de uma infecção por malware padrão. Não há downloads suspeitos, nem pop-ups, nem novos processos para analisar – apenas um site seguindo silenciosamente instruções que não deveria.
É o equivalente digital de um truque de prestidigitação: enquanto os defensores observam uma das mãos do mágico, a ação real acontece na manga ou nas costas.
O resultado é um truque de distribuição de malware, onde cada solicitação parece legítima e a verdadeira localização da carga útil está sempre a um passo de onde qualquer um espera que ela esteja.
Da fraude ao roubo
Quando o Detour Dog apareceu pela primeira vez, seu propósito parecia quase insignificante em comparação com outros ataques. Os sites infectados “simplesmente” redirecionavam os usuários para golpes online e páginas CAPTCHA falsas, projetadas para coletar cliques e receitas publicitárias. Mas em algum momento no final de 2024, a operação tomou um rumo mais sombrio.
A mesma infra-estrutura que antes canalizava o tráfego para redes de publicidade duvidosas começou a funcionar como plataforma de distribuição de malware grave.
Em meados de 2025, ele estava sendo usado para distribuir o Strela Stealer, um programa de roubo de informações espalhado por meio de anexos de e-mail maliciosos que podem exfiltrar dados do navegador, credenciais salvas e informações do sistema.
O Detour Dog não hospeda o malware diretamente. Em vez disso, ele atua como um retransmissor DNS, buscando silenciosamente cargas remotas de servidores controlados pelo invasor. servidores e servi-los através do próprio site comprometido.
Então, o que é Detour Dog, você pergunta? Essa ainda é uma questão difícil. Não se sabe se a Detour Dog é uma prestadora de serviços ou opera simultaneamente campanhas próprias. Mas sabemos que o ator da ameaça permitiu que outros atores, como o infame Hive0145, distribuíssem suas próprias cargas através dos canais do Detour Dog.
Nossa equipe descobriu que mais de dois terços dos domínios de teste vinculados a essas campanhas eram controlados pela Detour Dog, sugerindo que a operação ofereceu efetivamente entrega mediante aluguel.
Para usuários comuns como você e eu, isso significa que um único clique em um site aparentemente seguro ou em um e-mail de fatura aparentemente legítimo pode desencadear uma reação em cadeia invisível: uma solicitação de DNS, um comando de execução remota e, finalmente, uma infecção silenciosa que pode resultar em seu dados sendo roubado.
Spam, botnets e a nova cadeia de abastecimento criminosa
O e-mail continua sendo um dos principais gatilhos para muitas dessas cadeias. Anexos maliciosos (geralmente faturas falsas ou similares) iniciam um processo de vários estágios que nem sempre busca a “carga útil” final diretamente do documento.
Em vez disso, esses anexos apontam para domínios comprometidos que consultam os servidores de nomes da Detour Dog para obter instruções, transformando um simples clique em um download e retransmissão do lado do servidor.
Nas campanhas que nós e pesquisadores externos examinamos, o REM Proxy (um botnet baseado no MikroTik) e o Tofsee cuidaram da entrega em massa, enquanto o Detour Dog forneceu a hospedagem pegajosa e as retransmissões de DNS que mascararam a verdadeira origem do malware.
O resultado é aparentemente uma economia “como serviço”: um grupo envia o spam, outro fornece hospedagem resiliente e DNS C2, e um terceiro (por exemplo, os operadores Strela Stealer Hive0145) fornece a carga útil.
Nossa análise descobriu que cerca de 69% dos domínios de teste relatados durante o período observado estavam sob o controle do Detour Dog, sugerindo que a infraestrutura estava sendo alugada ou reutilizada como back-end de entrega, em vez de servir uma única campanha.
Essa divisão de trabalho torna as remoções e a atribuição mais difíceis, porque se você remover um nó, os operadores rapidamente redirecionam ou levantam substituições, e isso força os defensores a responder através da filtragem de e-mail e da inteligência da camada DNS para bloquear comandos secretos de registro TXT antes que eles sejam acionados no downstream.
Detour Dog é um lembrete de que algumas das ameaças mais perigosas podem permanecer a apenas um clique de distância. Ao utilizar o próprio DNS, os invasores encontraram uma maneira de transformar o tráfego diário da Web em um sistema secreto de entrega de malware e roubo de dados. A única maneira de combatê-lo é tratar o DNS como uma camada de defesa de linha de frente.
Apresentamos o melhor curso online de segurança cibernética.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes do setor de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não são necessariamente da TechRadarPro ou Future plc. Se você estiver interessado em contribuir saiba mais aqui: https://www.techradar.com/news/submit-your-story-to-techradar-pro