Novo backdoor usa DNS sobre HTTPS para esconder comunicação
A equipe de inteligência da Cisco Talos identificou uma nova campanha de ataques direcionados a instituições de ensino e organizações de saúde nos Estados Unidos. A operação é atribuída, de forma provisória, ao ator de ameaças rastreado como UAT-10027 e se destaca pelo uso de um backdoor inédito, batizado de Dohdoor. O grande diferencial desse malware é o uso de DNS over HTTPS (DoH) para se comunicar com a infraestrutura de comando e controle (C2), misturando-se ao tráfego web comum e dificultando a detecção por ferramentas tradicionais de segurança.
Como o ataque é iniciado
O ponto de entrada mais provável é o velho conhecido phishing. As vítimas recebem e-mails maliciosos cuidadosamente preparados, em geral com temática ligada ao contexto da organização-alvo, como documentos administrativos, resultados de exames, formulários internos ou notificações de sistema. Ao abrir o anexo ou clicar no link, o usuário é induzido a executar um script PowerShell.
Esse script PowerShell funciona como primeiro estágio do ataque. Ele faz o download, a partir de um servidor remoto controlado pelos criminosos, de um arquivo em lote (.bat ou .cmd). Esse arquivo não realiza de imediato ações altamente suspeitas; primeiro, ele “prepara o ambiente” no sistema comprometido, o que contribui para reduzir o nível de alerta de soluções de segurança comportamental.
Preparação do ambiente e instalação da DLL maliciosa
O arquivo em lote cria uma pasta oculta em diretórios normalmente usados pelo sistema, como C:ProgramData. Esse é um caminho amplamente utilizado por programas legítimos, o que ajuda a disfarçar a presença do malware. Em seguida, o atacante baixa uma DLL maliciosa para essa pasta e a renomeia usando um nome que remete a arquivos genuínos do Windows, como propsys.dll.
Essa estratégia de renomear arquivos maliciosos como componentes aparentando ser de sistema é um truque clássico para escapar da atenção tanto de usuários quanto de alguns mecanismos de detecção baseados em listas de nomes. À primeira vista, um analista ou administrador menos atento pode interpretar o arquivo como parte da instalação padrão do Windows.
Uso de executáveis legítimos do Windows (DLL sideloading)
Na etapa seguinte, o ataque copia para o mesmo diretório alguns executáveis legítimos do sistema operacional, como Fondue.exe, mblctr.exe e ScreenClippingHost.exe. Esses binários são assinados pela Microsoft e, portanto, costumam ter maior nível de confiança por parte de soluções de segurança.
O ponto-chave aqui é o uso da técnica de DLL sideloading. Quando esses executáveis legítimos são executados, eles carregam bibliotecas dinâmicas (DLLs) presentes no mesmo diretório, seguindo a ordem padrão de busca do Windows. Como a DLL maliciosa foi colocada exatamente nesse local, ela é carregada inadvertidamente pelo próprio sistema, ativando o backdoor Dohdoor sem que seja necessário explorar uma vulnerabilidade de alto perfil. Na prática, o próprio Windows serve de “veículo” para a execução do malware.
Para reduzir ainda mais os rastros da invasão, o script inicial limpa o histórico de comandos, apaga o conteúdo da área de transferência e remove o arquivo em lote usado na instalação. Dessa forma, análises posteriores no sistema comprometido encontram menos evidências diretas do vetor de ataque.
DNS sobre HTTPS como canal encoberto de comunicação
O aspecto mais sofisticado do Dohdoor é o seu mecanismo de comunicação com o servidor de comando e controle. Em vez de usar consultas DNS tradicionais, que trafegam em texto claro e são facilmente monitoradas por firewalls e sistemas de detecção, o backdoor utiliza DNS over HTTPS (DoH) na porta 443.
Na prática, o malware envia requisições criptografadas para o serviço de DNS hospedado na infraestrutura da Cloudflare. Como a porta 443 é a mesma usada para navegação HTTPS comum, o tráfego gerado pelo Dohdoor se mistura ao fluxo rotineiro de acesso a sites. Para um administrador de rede que não esteja inspecionando esse tipo de comportamento em detalhe, tudo parece apenas mais um conjunto de conexões seguras comuns, sem nada de anormal.
Domínios camuflados para burlar filtros
Para tornar a detecção ainda mais difícil, o Dohdoor utiliza domínios que imitam sistemas ou serviços legítimos. Um exemplo citado pela análise é MswInSofTUpDloAD.OnLiNE, nome que lembra algo relacionado à Microsoft ou a atualizações de software. A mistura de letras maiúsculas e minúsculas e o uso de TLDs menos comuns ajudam a confundir tanto a inspeção visual quanto mecanismos automatizados de classificação que se apoiam em padrões de nomenclatura.
Essa estratégia é eficiente porque muitos filtros automatizados tratam determinados domínios como suspeitos com base em características simples: padrões de dicionário, reputação conhecida, extensão de domínio, entre outros. Ao adotar nomes que lembram aplicações corporativas ou componentes de sistema, os atacantes tentam se posicionar na “zona cinzenta” que costuma escapar de regras genéricas.
Decodificação do payload e process hollowing
Após estabelecer o canal de comunicação via DoH e receber instruções do servidor C2, o Dohdoor faz o download de um payload adicional criptografado. Esse conteúdo não é executado diretamente; antes, é decodificado por meio de um método próprio que combina operações XOR e SUB (XOR-SUB), padrão já visto em campanhas avançadas.
Depois de decodificado, o código malicioso é injetado em processos legítimos do sistema, como OpenWith.exe, usando a técnica conhecida como process hollowing. Nesse método, o atacante inicia um processo legítimo, esvazia sua memória e, em seguida, preenche esse espaço com o código malicioso. Para o sistema operacional e para algumas soluções de monitoramento, o que está rodando parece ser um executável confiável, quando na verdade é o malware operando “dentro” desse processo.
A análise da Cisco Talos não conseguiu determinar com total certeza qual é o payload final executado, mas há forte suspeita de que se trate do Cobalt Strike Beacon, uma ferramenta amplamente usada por grupos de cibercrime e operadores de ameaças avançadas para controle remoto, movimentação lateral e exfiltração de dados em redes comprometidas.
Possível conexão com o grupo Lazarus
Os pesquisadores apontam similaridades técnicas entre essa campanha e atividades historicamente atribuídas ao grupo Lazarus, associado à Coreia do Norte. Entre os pontos em comum estão o uso de DNS sobre HTTPS via Cloudflare, o esquema de decodificação XOR-SUB e o conjunto de técnicas voltadas a driblar soluções de antivírus e EDR.
Apesar dessas coincidências, o perfil dos alvos lança dúvidas sobre uma atribuição definitiva. O Lazarus costuma focar setores financeiro, de defesa, energia e infraestrutura crítica, enquanto essa campanha tem mirado principalmente instituições de educação e saúde. Essa diferença de foco pode indicar um novo grupo que se inspira em técnicas usadas pelo Lazarus, ou uma subdivisão com objetivos específicos. Por enquanto, os especialistas mantêm a classificação como UAT-10027, sem cravar uma autoria oficial.
Por que DNS over HTTPS complica a defesa
O uso de DoH por malwares como o Dohdoor evidencia um desafio crescente para equipes de segurança: protocolos criados para aumentar a privacidade do usuário estão sendo explorados para ocultar atividades maliciosas. Em um cenário tradicional, consultas DNS trafegam em texto puro, permitindo que administradores inspecionem, filtrem e registrem domínios acessados pela rede. Com o DoH, esse conteúdo passa a ser encapsulado em HTTPS, criptografado do ponto de origem ao servidor de DNS.
Se a organização não tiver políticas específicas para lidar com DoH – por exemplo, controlando quais resolvers podem ser acessados, inspecionando tráfego HTTPS de saída (quando compatível com regulamentações internas) ou adotando soluções de DNS internas com suporte a segurança avançada – o atacante ganha um túnel relativamente furtivo para se comunicar com sua infraestrutura, mesmo em redes teoricamente bem protegidas.
Impacto específico em instituições de educação e saúde
Setores de educação e saúde são alvos atrativos por diversos motivos. Universidades e centros de pesquisa lidam com dados sensíveis, propriedade intelectual e, muitas vezes, mantêm ambientes de TI heterogêneos e menos padronizados, o que aumenta a superfície de ataque. Já hospitais e clínicas operam sistemas críticos, vinculados à vida de pacientes, além de armazenar grandes volumes de dados pessoais e médicos.
Em muitos casos, esses ambientes possuem orçamentos limitados para segurança, equipes reduzidas e sistemas legados que convivem com aplicativos de última geração. Isso torna mais difícil a implementação de monitoração profunda de tráfego, segmentação de rede rigorosa e políticas avançadas para protocolos como DoH. Um backdoor que se esconde em tráfego HTTPS comum, como o Dohdoor, encontra nesse contexto um terreno fértil para operar por longos períodos sem ser notado.
Medidas de mitigação e boas práticas
Para se proteger contra ameaças que usam DNS over HTTPS e técnicas como DLL sideloading e process hollowing, algumas ações práticas podem ser consideradas pelas organizações:
– Reforçar a conscientização sobre phishing, especialmente em áreas administrativas e de atendimento, que costumam ser os principais alvos de e-mails maliciosos.
– Restringir a execução de scripts PowerShell e arquivos em lote, aplicando políticas de whitelisting e assinaturas digitais sempre que possível.
– Monitorar diretórios como C:ProgramData e outras pastas de sistema em busca de arquivos suspeitos, alterações incomuns e cópias inesperadas de executáveis legítimos.
– Adotar soluções de EDR capazes de detectar comportamentos anômalos, como process hollowing, criação de processos por aplicativos fora do padrão e carregamento de DLLs suspeitas por binários do sistema.
– Estabelecer políticas claras para uso de DoH, definindo resolvers autorizados e bloqueando conexões para serviços de DNS não aprovados, quando compatível com o modelo de governança da organização.
– Revisar periodicamente logs de rede e eventos de segurança, procurando por padrões de comunicação recorrentes com serviços externos de DNS via HTTPS que não façam parte da arquitetura oficial.
Tendência de ataques mais furtivos
O caso do Dohdoor ilustra uma tendência clara no cenário de ameaças: atacantes estão cada vez mais inclinados a aproveitar funcionalidades e protocolos de uso legítimo para esconder suas operações. Em vez de depender apenas de exploits sofisticados e malwares ruidosos, muitas campanhas apostam em técnicas de “vivendo da terra” (living off the land), nas quais componentes nativos do sistema operacional e serviços amplamente utilizados são transformados em ferramentas do ataque.
Ao se camuflar em processos do Windows, usar DNS over HTTPS, imitar domínios corporativos e apagar rastros de execução, o Dohdoor demonstra que mesmo ambientes com soluções de segurança modernas podem ser enganados se não houver uma visão integrada de comportamento, contexto e anomalias. Para instituições de educação e saúde, que frequentemente operam em condições de alta demanda e poucos recursos, o desafio é ainda maior – e torna essencial a combinação de tecnologia, processo e capacitação contínua de suas equipes.