« Detour Dog » : une campagne invisible aurait compromis plus de 30 000 sites web
Un acteur menaçant, surnommé Detour Dog, a compromis des dizaines de milliers de sites légitimes en exploitant des failles du système DNS pour distribuer des maliciels, selon une analyse publiée par l’équipe Threat Intel d’Infoblox.
D’emblée, les chercheurs expliquent que l’attaque se démarque par sa discrétion. Plutôt que d’injecter du code côté client, les serveurs compromis effectuent des requêtes DNS (notamment via des enregistrements TXT) qui servent de canal de commande et de contrôle. Ainsi, les redirections et chargements malveillants passent inaperçus pour la majorité des visiteurs.
Selon les données partagées par Infoblox et relayées par plusieurs médias spécialisés, plus de 30 000 sites auraient été touchés depuis le début de la campagne. Cette large portée s’explique en partie par l’exploitation d’infrastructures mal configurées : registres, serveurs DNS et domaines vulnérables ont servi de vecteurs.
La finalité de l’opération dépasse la simple redirection. Les enquêtes montrent que Detour Dog a facilité la distribution d’un voleur d’informations connu sous le nom de Strela Stealer, et qu’un backdoor appelé StarFish a été utilisé comme première étape dans certains cas. En conséquence, des identifiants et d’autres données sensibles ont pu être exfiltrés chez des victimes piégées par des pages apparemment légitimes.
Face à la menace, Infoblox a coopéré avec des partenaires du secteur pour neutraliser des domaines de commande et contrôle et pour avertir les propriétaires de sites compromis. Des organisations comme Shadowserver participent également au recensement et au nettoyage des infrastructures infectées. Les spécialistes recommandent d’auditer les configurations DNS, d’activer des protections DNS et de surveiller les anomalies de trafic côté serveur.
Pourquoi c’est inquiétant? D’abord parce que l’attaque opère côté serveur : les visiteurs ne voient rien d’évident. Ensuite, parce que la chaîne d’infection combine plusieurs outils et botnets, rendant l’attribution et l’éradication plus complexes. Enfin, parce que des sites très nombreux et parfois essentiels au fonctionnement d’entreprises ou d’organismes ont été touchés.
En conclusion, cette campagne illustre l’évolution des tactiques : les attaquants utilisent le DNS comme canal furtif pour lancer des charges utiles sophistiquées. Les administrateurs web et les responsables TI doivent vérifier leurs enregistrements DNS, corriger les configurations exposées et collaborer avec les services de sécurité pour nettoyer les infections rapidement.
Que pensez-vous de cette menace : votre organisation est-elle prête à détecter des attaques qui se jouent hors du navigateur, côté serveur ? Partagez votre avis et vos expériences.
À suivre.
Laisser un commentaire
Vous devez vous connecter pour publier un commentaire.