Dopo aver analizzato oltre 70 miliardi di record DNS, i ricercatori di Infoblox hanno scoperto diversi domini associati al toolkit Decoy Dog. Questo kit viene usato dai cybercriminali per distribuire Pupy RAT (Remote Access Trojan), un malware open source che supporta diverse architetture e i principali sistemi operativi.
Decoy Dog e Pupy RAT
I ricercatori di Infoblox hanno rilevato diversi domini C2 (command and control) con traffico sospetto. Una successiva analisi ha permesso di scoprire che le attività DNS erano generate da dispositivi aziendali legittimi. L’origine delle comunicazioni C2 era principalmente la Russia. In dettaglio, il traffico era generato dal malware installato sui dispositivi, ovvero Pupy RAT, parte del toolkit Decoy Dog.
Pupy RAT è un sofisticato trojan modulare open source scritto in Python. È difficile da rilevare perché usa connessioni cifrate e soprattutto non lascia traccia su disco (fileless). Viene infatti eseguito in memoria, pertanto le soluzioni di sicurezza non riescono ad individuarlo subito e può rimanere nella rete aziendale per lungo tempo.
Pupy RAT supporta le architetture x86, x64 e ARM, oltre ai principali sistemi operativi (Windows, macOS, Linux e Android). Viene utilizzato solo da cybercriminali con elevate competenze tecniche. Come altri RAT, il malware consente di prendere il controllo del dispositivo infettato, eseguire comandi da remoto, rubare le credenziali e accedere ai computer collegati alla rete interna.
Le prime tracce del toolkit Decoy Dog sono state individuate all’inizio di aprile 2022. I ricercatori di Infoblox hanno fornito consigli su come bloccare il traffico generato dal malware verso i server C2.