SVG как новый вход в инфраструктуру: атаки через DNS, которые не видит антивирус
В последние месяцы исследователи зафиксировали кампанию Detour Dog, которая переворачивает привычное представление о том, как может выглядеть заражение. Всё начинается с безобидного вложения в письме — SVG-файла. Пользователь открывает картинку, и на этом для него история заканчивается. Но на уровне инфраструктуры начинается цепочка событий: взломанный сайт обращается к DNS-серверу, подконтрольному атакующим, и получает инструкции через текстовые записи. Иногда ничего не происходит, иногда сайт просто перенаправляет на мошеннический ресурс, а иногда запускает скрытую загрузку кода. Именно эта непредсказуемость и минимизация активности делают атаку трудноуловимой.
Следующим шагом становится внедрение небольшой программы StarFish, которая превращает заражённую систему в точку удалённого доступа. Через неё к жертве попадает Strela Stealer — инструмент кражи данных и учётных записей. Detour Dog больше не ограничивается банальными редиректами, а фактически превратился в сервис распространения вредоносов для сторонних клиентов. Этим объясняется и использование ботнетов REM Proxy и Tofsee: они отвечают за массовую доставку заражённых вложений и расширяют охват атак.
Особенность модели в том, что подавляющее большинство запросов и ответов остаются «пустыми», что снижает шансы на детектирование. Даже если отдельные домены операторов блокируются, инфраструктура быстро переезжает на новые площадки. Таким образом создаётся устойчивая система, которую невозможно обезвредить точечным ударом.
Для CISO это сигнал о том, что атаки смещаются туда, где раньше не искали угроз. DNS, особенно записи TXT, становится каналом управления, и без сетевой аналитики эти цепочки остаются невидимыми. Традиционные механизмы защиты на уровне конечных устройств оказываются недостаточными, когда код доставляется через многоуровневую инфраструктуру и скрывается за фасадом легитимного трафика. Не менее важно понимать, что в качестве промежуточного звена всё чаще используются легитимные сайты на WordPress, принадлежащие компаниям и подрядчикам. И вопрос здесь уже не только в личной гигиене пользователей, но и в зрелости процессов управления уязвимостями в экосистеме партнёров.
Detour Dog демонстрирует сдвиг: от примитивных фишинговых переходов к атакам, где ключевую роль играет живучая сеть распределённых ресурсов. И если раньше можно было возложить ответственность на сотрудника, который кликнул по ссылке, сегодня становится ясно, что истинная точка контроля лежит в архитектуре процессов безопасности.
