Novo backdoor usa DNS sobre HTTPS para esconder comunicação maliciosa
Pesquisadores da Cisco Talos identificaram uma nova campanha de ataques cibernéticos voltada a organizações dos setores de educação e saúde nos Estados Unidos. A operação, atribuída provisoriamente ao ator de ameaças rastreado como UAT-10027, faz uso de um backdoor inédito batizado de Dohdoor, cuja principal característica é ocultar o tráfego com o servidor de comando e controle (C2) por meio de DNS sobre HTTPS (DoH).
Ao encapsular consultas DNS dentro de conexões HTTPS padrão, o Dohdoor consegue se misturar ao fluxo normal de navegação da vítima, dificultando enormemente a detecção por ferramentas de monitoramento tradicionais. Para os administradores de rede, o que aparece é apenas mais um volume de tráfego criptografado na porta 443, sem sinais óbvios de atividade maliciosa.
Como o ataque começa
A cadeia de infecção provavelmente se inicia com e-mails de phishing cuidadosamente elaborados. O usuário é induzido a abrir um anexo ou clicar em um link malicioso que, ao ser executado, dispara um script em PowerShell. Esse script baixa, a partir de um servidor remoto controlado pelos criminosos, um arquivo em lote (extensões .bat ou .cmd) responsável por preparar o ambiente para a instalação do backdoor.
O arquivo em lote cria uma pasta oculta em diretórios de uso comum pelo sistema, como C:ProgramData, de modo a não chamar atenção do usuário nem de verificações superficiais. Nessa pasta, o script baixa uma DLL maliciosa e a renomeia com um nome que imita um componente legítimo do Windows, como propsys.dll, buscando passar despercebida em listas de arquivos e em verificações automatizadas mais simples.
Abuso de executáveis legítimos do Windows
Na etapa seguinte, o ataque se aproveita de uma técnica conhecida como DLL sideloading. Para isso, o script copia para a mesma pasta alguns executáveis legítimos do próprio Windows, entre eles:
– Fondue.exe
– mblctr.exe
– ScreenClippingHost.exe
Esses binários são confiáveis e, em circunstâncias normais, usados em funções legítimas do sistema. No entanto, quando executados a partir da pasta preparada pelo atacante, eles acabam carregando a DLL maliciosa colocada ali anteriormente, acreditando tratar-se de uma biblioteca de sistema genuína. Isso permite que o código do Dohdoor seja executado dentro de processos assinados e confiáveis, reduzindo a chance de bloqueio por soluções de segurança.
Para apagar rastros, o script PowerShell realiza uma faxina final: apaga o histórico de comandos que executou, limpa a área de transferência e remove o próprio arquivo em lote, dificultando a análise forense posterior.
Comunicação oculta com DNS sobre HTTPS
Diferentemente de muitas famílias de malware que utilizam requisições DNS tradicionais para se comunicar com seus servidores de comando, o Dohdoor aposta em consultas DNS sobre HTTPS. Em vez de enviar requisições em texto claro para um resolvedor DNS comum, ele encapsula essas consultas em conexões HTTPS criptografadas, direcionadas ao serviço de DNS da Cloudflare na porta 443.
Na prática, isso faz com que o tráfego gerado pelo malware seja praticamente indistinguível de uma navegação normal. Ferramentas que apenas inspecionam metadados de rede, portas e domínios acessados têm mais dificuldade em identificar algo suspeito. Ainda que um analista veja um volume alto de conexões HTTPS para um resolvedor conhecido, isso pode ser facilmente confundido com uso legítimo de DoH por aplicativos ou navegadores modernos.
Para tornar a detecção ainda mais complexa, os operadores do Dohdoor registram domínios que imitam serviços ou sistemas confiáveis, com variações de maiúsculas e minúsculas e terminações inusitadas. Um exemplo citado é MswInSofTUpDloAD.OnLiNE, que visualmente lembra nomes de componentes da Microsoft ou de serviços de atualização de software, o que pode enganar filtros automatizados baseados em reputação ou padrões de nome.
Decodificação e injeção de payload
Depois que o backdoor estabelece a comunicação bem-sucedida com seu servidor de comando e controle por meio de DoH, ele aguarda instruções. Entre essas instruções, pode estar o download de um payload adicional, enviado de forma criptografada para dificultar a análise e o bloqueio.
O Dohdoor utiliza um método próprio de decodificação, baseado em uma combinação de operações XOR e SUB (subtração), para transformar esse payload criptografado em código executável. Em vez de gravar esse código diretamente em disco, o malware adota a técnica de process hollowing: ele cria ou abre um processo legítimo do sistema, como OpenWith.exe, esvazia sua seção de código e injeta ali o payload decodificado.
Dessa maneira, o código malicioso passa a rodar “por dentro” de um processo legítimo e assinado, o que dificulta sua identificação por soluções que apenas verificam a origem do binário em execução. O uso de process hollowing também permite ao atacante executar funcionalidades avançadas, como movimentação lateral na rede, coleta de credenciais e exfiltração de dados, sem levantar suspeitas imediatas.
A Cisco Talos ainda não conseguiu determinar com precisão qual é o payload final distribuído pelo Dohdoor, mas os pesquisadores consideram provável que se trate do Cobalt Strike Beacon, amplamente usado por grupos de ameaça para comando remoto, reconhecimento de rede e preparação de ataques mais destrutivos.
Indícios que apontam para o grupo Lazarus
A análise técnica conduzida pela Talos revelou semelhanças interessantes entre o Dohdoor e campanhas atribuídas anteriormente ao grupo Lazarus, associado à Coreia do Norte. Entre esses pontos em comum estão:
– O uso de DNS sobre HTTPS via Cloudflare como canal de comunicação
– O método específico de decodificação de payloads (combinação XOR-SUB)
– O emprego de técnicas sofisticadas para evadir soluções antivírus e de EDR
Apesar disso, os alvos desta campanha – principalmente instituições de educação e saúde – fogem do perfil tradicionalmente associado ao Lazarus, que costuma concentrar seus esforços em setores financeiro, de defesa e em alvos com alto potencial de ganho financeiro direto ou impacto geopolítico.
Por conta dessa divergência de foco, os pesquisadores ainda são cautelosos ao atribuir a operação diretamente ao Lazarus. É possível que se trate de um grupo diferente reutilizando técnicas e ferramentas conhecidas, ou mesmo de um subgrupo alinhado a interesses distintos, aproveitando a infraestrutura e o know-how já estabelecidos.
Por que educação e saúde são alvos atraentes
O fato de os ataques mirarem organizações dos setores de educação e saúde não é acidental. Essas áreas costumam lidar com grandes volumes de dados sensíveis – informações pessoais, prontuários médicos, dados financeiros, resultados de pesquisa – e, ao mesmo tempo, muitas vezes operam com orçamentos limitados para segurança da informação.
Ambientes acadêmicos, em especial, tendem a ser mais abertos e descentralizados, com muitos usuários, dispositivos distintos e políticas de acesso flexíveis. Já instituições de saúde frequentemente dependem de sistemas legados, equipamentos médicos conectados e infraestruturas críticas que não podem sofrer interrupções, o que reduz a margem para atualizações agressivas ou bloqueios de tráfego suspeito.
Esse cenário cria uma superfície de ataque ampla e, em muitos casos, subprotegida, tornando esses setores especialmente atraentes para grupos de ameaça em busca de acesso prolongado, espionagem, roubo de dados ou preparação de futuras campanhas de extorsão.
Desafios de detectar ameaças que usam DoH
O uso de DNS sobre HTTPS por malwares como o Dohdoor expõe um dilema importante para equipes de segurança. O DoH foi criado para aumentar a privacidade dos usuários, impedindo que intermediários na rede monitorem ou manipulem consultas DNS. No entanto, a mesma criptografia que protege a privacidade também dificulta a inspeção de tráfego por soluções de segurança corporativa.
Bloquear completamente o DoH pode não ser viável em muitos ambientes, já que navegadores modernos e aplicações legítimas passaram a adotar esse recurso nativamente. Ao mesmo tempo, permitir o uso irrestrito de resolvedores externos na porta 443 abre espaço para que ameaças escondam suas comunicações sob essa camada de criptografia.
Diante disso, organizações precisam adotar estratégias mais granulares, como:
– Restringir quais resolvedores DoH podem ser acessados a partir da rede corporativa
– Monitorar padrões de tráfego HTTPS anômalos relacionados a serviços DNS
– Utilizar soluções de inspeção TLS conscientes de aplicações, quando compatíveis com políticas de privacidade e regulamentações
Medidas de proteção recomendadas
Para reduzir o risco de infecção por backdoors como o Dohdoor, especialmente em ambientes de educação e saúde, algumas ações se destacam:
1. Endurecimento de PowerShell e scripts
– Restringir a execução de scripts PowerShell não assinados
– Ativar logs avançados de PowerShell para facilitar a detecção de comandos suspeitos
– Implementar políticas de controle de aplicações para limitar o uso de arquivos em lote desconhecidos
2. Monitoramento de DLL sideloading
– Mapear executáveis legítimos do Windows frequentemente abusados por atacantes
– Criar regras de detecção para execução incomum desses binários a partir de diretórios como ProgramData ou pastas de usuário
– Auditar a presença de DLLs não padrão em diretórios compartilhados com executáveis críticos do sistema
3. Detecção de process hollowing
– Adotar soluções de EDR capazes de identificar anomalias de memória e comportamento de processos
– Monitorar processos que normalmente não deveriam iniciar conexões de rede externas, mas passam a se comunicar com endereços suspeitos
4. Reforço contra phishing
– Investir em campanhas contínuas de conscientização dos usuários
– Implementar filtros de e-mail avançados com análise de anexos e URLs em sandbox
– Aplicar autenticações fortes para acesso a sistemas críticos, reduzindo o impacto do roubo de credenciais
Importância de uma estratégia de visibilidade em nuvem e SaaS
Embora a campanha descrita tenha foco em endpoints Windows locais, o uso de DoH e de infraestruturas de nuvem mostra como as fronteiras entre ambiente on-premises e serviços em nuvem se tornaram porosas. Muitas organizações ainda assumem, de forma equivocada, que aplicações em nuvem e serviços SaaS têm proteção e backup “automáticos” e abrangentes.
Na prática, o modelo de responsabilidade compartilhada indica que o provedor se encarrega da disponibilidade e da segurança da infraestrutura, enquanto a proteção de dados, configurações e acessos continua sendo, em grande parte, responsabilidade do cliente. Um backdoor com capacidade de se movimentar na rede e de roubar credenciais pode facilmente atingir contas e dados armazenados em serviços em nuvem, se não houver políticas rígidas de acesso, autenticação multifator e monitoramento de atividade suspeita.
Tendências futuras e lições desse caso
A campanha do Dohdoor ilustra uma tendência clara no cenário de ameaças: o uso crescente de protocolos e serviços legítimos – como DoH, HTTPS e infraestruturas de nuvem amplamente confiáveis – para mascarar atividades maliciosas. Em vez de criar canais de comunicação exóticos e fáceis de bloquear, atacantes preferem “se esconder na multidão” do tráfego comum.
Para as equipes de segurança, isso significa que abordagens baseadas apenas em assinatura e inspeção superficial de tráfego já não são suficientes. É preciso combinar análise comportamental, correlação de eventos, telemetria de endpoint, contexto de identidade e políticas de segmentação de rede mais rígidas. A capacidade de responder rapidamente a sinais sutis – uma execução atípica de PowerShell, um processo de sistema se comunicando com um resolvedor externo de forma incomum, uma DLL inesperada ao lado de um executável legítimo – torna-se fator decisivo.
Em resumo, o caso Dohdoor reforça três pontos centrais: a criatividade dos atacantes em explorar recursos pensados para melhorar a privacidade, a vulnerabilidade de setores críticos como educação e saúde a campanhas furtivas e a necessidade urgente de uma postura de segurança mais integrada, capaz de enxergar além da superfície criptografada do tráfego e do selo de confiança de processos aparentemente legítimos.