Não se preocupe muito, mas milhares de sites legítimos em todo o mundo estão silenciosamente fazendo exigências aos cibercriminosos.
Por trás de uma página inicial comum, o malware usa o sistema de nomes de domínio (DNS) – essencialmente o mesmo protocolo que “executa” a Internet, traduzindo endereços da web em números IP – para contatar secretamente servidores controlados por invasores e decidir quem redirecionar, infectar ou deixar em paz.
O que resta é uma camada invisível de risco que a maioria dos visitantes, e até mesmo muitas ferramentas de segurança, nunca detectarão.
Vice-presidente de ameaças da Intel na Infoblox.
O culpado, apelidado de “Detour Dog” por nossos pesquisadores, é uma operação de malware de longa duração que evoluiu insidiosamente da execução de golpes publicitários para a distribuição de poderoso malware para roubo de informações. A genialidade desta campanha reside na sua má orientação e disfarce.
O site que você vê quando está navegando na Internet pode parecer bom, mas alguém falando nos bastidores com seu navegador pode estar “recebendo” comandos de uma infraestrutura criminosa a meio mundo de distância, daí o rótulo “Bypass Dog”.
Nos últimos meses, essa infraestrutura tem sido usada para entregar o Strela Stealer, onde anexos em e-mails infectados acionam um canal DNS oculto para alcançar e executar o malware.
O alcance do Detour Dog é incrível. Mais de 30.000 sites foram comprometidos, gerando coletivamente milhões de consultas de registro DNS TXT por hora, cada uma das quais poderia ser um sinal para execução ou redirecionamento remoto de código.
Como a lógica maliciosa é executada no próprio servidor web, ela não deixa rastros visíveis na máquina do usuário. A maioria das visitas parece perfeitamente legítima. Apenas uma pequena fração, cerca de uma em cada dez, causa realmente algum tipo de ação maligna, o que torna incrivelmente difícil de detectar ou replicar.
O que estamos a ver é uma campanha furtiva que pode durar mais de um ano no mesmo domínio, desviando dados silenciosamente, redireccionando o tráfego e transformando um dos sistemas mais fiáveis da Internet – o DNS – em arma contra si próprio.
Você está observando com atenção?
Quase tão antigo quanto a própria Internet, DNS é o sistema que traduz um nome como TechRadar.com no endereço numérico que seu navegador precisa para se conectar a ele. Ele não foi projetado tendo em mente os desafios de segurança de 2025 quando foi criado e é um problema persistente, mas o Detour Dog encontrou uma maneira de transformá-lo totalmente em uma arma.
Em vez de usar o DNS para resolver consultas legítimas, o malware o utiliza como um canal de comando oculto, ocultando instruções nos chamados “registros TXT”, campos normalmente usados para dados de configuração inofensivos ou verificação de e-mail.
Quando um site comprometido faz uma dessas consultas DNS, o servidor de nomes do invasor responde com uma mensagem codificada: às vezes para “não fazer nada”, às vezes para redirecionar o visitante para outro lugar e, ocasionalmente, para buscar e executar conteúdo malicioso.
Como tudo isso acontece no lado do servidor, fica invisível para quem navega no site e é quase impossível detectar a proteção de pontos regulares. Seu software de proteção contra vírus não é bom aqui.
É incrivelmente abrangente, mas também surpreendentemente simples. Ao transformar a própria pesquisa de DNS em um mecanismo de controle, o Detour Dog evita os sinais de alerta comuns da infecção por malware padrão. Sem downloads suspeitos, sem pop-ups, sem novos processos de verificação; É apenas um site que segue silenciosamente instruções desnecessárias.
É o equivalente digital de um truque de prestidigitação: enquanto os defensores observam a mão de um mágico, a verdadeira ação acontece na manga ou nas costas.
O resultado é o truque da distribuição de malware, onde cada solicitação parece legítima e a localização real da carga está sempre a um passo de onde qualquer um espera que ela esteja.
De golpes a ladrões
Quando o Detour Dog apareceu pela primeira vez, seu alvo parecia quase pequeno em comparação com outros ataques. Os sites infectados “simplesmente” redirecionavam os usuários para golpes online e páginas CAPTCHA falsas, projetadas para coletar cliques e receitas de anúncios. Mas no final de 2024, a operação tomou um rumo mais sombrio.
A mesma infra-estrutura que antes encaminhava o tráfego para redes de publicidade duvidosas começou a funcionar como plataforma de distribuição de malware grave.
Em meados de 2025, ele estava sendo usado para distribuir o Strela Stealer, um programa de roubo de informações implantado por meio de anexos de e-mail maliciosos que podem se infiltrar em dados do navegador, credenciais armazenadas e informações do sistema.
O Detour Dog não hospeda malware diretamente. Em vez disso, ele atua como um retransmissor DNS, buscando silenciosamente cargas remotas de servidores controlados pelo invasor e servindo-as por meio do site comprometido.
Então, o que é Detour Dog, você pergunta? Essa ainda é uma pergunta difícil. Não se sabe se a Detour Dog é uma prestadora de serviços ou se realiza suas próprias campanhas ao mesmo tempo. Mas sabemos que o ator da ameaça permitiu que outros atores, como o infame Hive0145, distribuíssem suas próprias cargas através dos canais do Detour Dog.
Nossa equipe descobriu que mais de dois terços dos domínios de teste associados a essas campanhas eram controlados pela Detour Dog, sugerindo que a operação oferecia entrega mediante aluguel.
Para usuários comuns como você e eu, isso significa que um único clique em um site aparentemente seguro ou em um e-mail de fatura aparentemente legítimo pode desencadear uma reação em cadeia invisível: uma solicitação de DNS, um comando de execução remota e, finalmente, uma infecção silenciosa que pode roubar seus dados.
Spam, botnets e a nova cadeia de abastecimento criminosa
O e-mail continua sendo um dos principais impulsionadores de muitas dessas cadeias. Anexos maliciosos (muitas vezes faturas falsas ou similares) iniciam um processo de várias etapas, que nem sempre deriva diretamente do documento final de “cobrança”.
Em vez disso, esses anexos apontam para domínios perigosos que consultam os servidores de nomes do Detour Dog em busca de instruções, transformando um simples clique em um download e retransmissão do lado do servidor.
Nas campanhas analisadas por nós e por pesquisadores externos, REM Proxy (um botnet baseado em MikroTik) e Tofsee gerenciavam a entrega em massa, enquanto Detour Dog fornecia hospedagem fixa e retransmissões de DNS que ocultavam a verdadeira origem do malware.
O resultado é aparentemente uma economia “como serviço”: um grupo entrega o spam, outro fornece hospedagem resiliente e DNS C2, e um terceiro (por exemplo, o operador Strela Stealer Hive0145) fornece a carga útil.
Cerca de 69% dos domínios de teste relatados no período observado por nossa análise estavam sob o controle da Detour Dog, sugerindo que a infraestrutura estava sendo alugada ou reutilizada como back-end de entrega, em vez de servir uma única campanha.
Essa divisão de trabalho dificulta remoções e atribuições porque, se você retirar um nó, os operadores rapidamente desviam ou erguem substitutos, e força os defensores a responder por meio de filtragem de e-mail e inteligência da camada DNS para bloquear comandos ocultos de registro TXT antes de serem lançados no downstream.
Detour Dog é um lembrete de que algumas das ameaças mais perigosas podem estar a apenas um clique de distância. Ao usar o próprio DNS, os invasores encontraram uma maneira de transformar o tráfego diário da Web em um sistema oculto de entrega de malware e roubo de dados. A única maneira de lidar com isso é tratar o DNS como a primeira linha de defesa.
Apresentamos o melhor curso online de segurança cibernética.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
