DNS TXT kayıtlarını içeren eşi görülmemiş bir teknik aracılığıyla Strela Stealer bilgi çalma kötü amaçlı yazılımını sunmak için dünya çapında binlerce uzlaşmış web sitesini kullanan gelişmiş bir DNS tabanlı kötü amaçlı yazılım kampanyası ortaya çıktı.
Güvenlik araştırmacıları tarafından sapma köpeği olarak izlenen tehdit, alan adı sistemini hem komut ve kontrol mekanizması hem de teslimat kanalı olarak kullanan kötü amaçlı yazılım dağıtım yöntemlerinde önemli bir evrimi temsil ediyor.
Kötü amaçlı yazılım kampanyası, küresel olarak on binlerce web sitesini etkiler ve özel hazırlanmış DNS sorguları aracılığıyla aktör kontrollü ad sunucularıyla iletişim kuran geniş bir enfekte ana bilgisayar ağı oluşturur.
Bu sunucu tarafı DNS talepleri, web sitesi ziyaretçileri için görünmez kalır ve kötü amaçlı altyapının meşru web trafiğinin görünümünü korurken gizli çalışmasına izin verir.
Enfekte olan siteler, ziyaretçileri coğrafi konumlarına ve cihaz türlerine göre kötü amaçlı içeriğe koşullu olarak yönlendirerek, algılamadan kaçmaya yardımcı olan sofistike bir filtreleme mekanizması oluşturur.
Detour Dog, yönlendirme-scam operasyonu olarak kökenlerinden önemli ölçüde gelişti.
Bu kampanyanın arkasındaki tehdit oyuncusu en azından Ağustos 2023’ten beri aktif ve başlangıçta kullanıcıları hileli web sitelerine ve teknoloji destek dolandırıcılıklarına yönlendirmeye odaklanıyor.
Bununla birlikte, son gelişmeler, özellikle Strela Stealer yükü ile Avrupalı kullanıcıları hedefleyen kampanyalarda doğrudan kötü amaçlı yazılım dağıtımına doğru belirgin bir değişim göstermektedir.
Infoblox analistleri, 2025 yazında sapık köpek altyapısı ile Strela Stealer operasyonları arasındaki bağlantıyı belirledi ve onaylanmış denizyıldızı evreleme konakçılarının en az yüzde 69’unun dolambaçlı köpek kontrolü altında olduğunu keşfettiler.
.webp)
Bu bulgu, tehdit oyuncunun sadece trafiği yeniden yönlendirmekle kalmadığını, aynı zamanda bilgi hırsızlığı operasyonlarıyla sonuçlanan çok aşamalı kötü amaçlı yazılım dağıtım zincirlerine aktif olarak katıldığını ortaya koydu.
Gelişmiş DNS TXT Komutu ve Kontrol Altyapısı
Detour Dog’un DNS tabanlı komut ve kontrol sisteminin teknik sofistike olması, tipik olarak gözden kaçan DNS TXT kayıt işlevinden yararlanan kötü amaçlı yazılım iletişimine yeni bir yaklaşımı temsil eder.
Enfekte web siteleri, mağdur bilgilerini doğrudan alt alan yapısına yerleştiren yapılandırılmış bir formatın ardından DNS sorguları oluşturur:-
....c2_domain Sistem, operatörler “Down” anahtar kelimesini içeren Base64 kodlu yanıtların tetiklediği uzaktan kod yürütme özelliklerini eklediğinde 2025 ilkbaharında önemli bir yükseltme geçirdi.
Enfekte bir site böyle bir yanıt aldığında, önekleri çıkarır ve belirtilen URL’lerden içerik almak için Curl kullanır ve tehlikeye atılan web sitelerini kötü amaçlı yazılım dağıtımı için proxy sunucularına etkili bir şekilde dönüştürür.
DNS TXT yanıtları, karmaşık çok aşamalı yük dağıtımını sağlayan belirli bir format izler.
Örneğin, kod çözülmüş bir yanıt şu şekilde görünebilir:-
downhttp://updatemsdnserver.com/script.php?u=j6cwaj0h67Bu komut, enfekte olmuş siteye bir denizyıldızı C2 sunucusundan içerik almasını ve kurbana geri akmasını ve gerçek kötü amaçlı içerik kaynağını gizleyen dağıtılmış bir dağıtım ağı oluşturmasını söyler.
Sistem, Strela Stealer dağıtım işleminin farklı aşamalarına karşılık gelen Script.php ve File.php uç noktalarını destekler.
Tehdit oyuncusu altyapılarını korumada dikkate değer bir esneklik göstermiştir. Shadowserver Foundation, Ağustos 2025’te Webdmonitor.io etki alanını detaylandırdığında, dolambaçlı köpek operatörleri birkaç saat içinde bir yedek C2 sunucusu kurdu ve enfekte web sitesi ağlarının kontrolünü yeni aeroarrows.io alanına sorunsuz bir şekilde aktardı.
Düden verilerinin analizi, hepsi aktör kontrollü altyapıya düzgün biçimlendirilmiş DNS txt sorguları üreten 584 farklı üst düzey alandan kapsayan yaklaşık 30.000 benzersiz alan ortaya çıkarmıştır.
Bu operasyonun ölçeği ve kalıcılığı, kötü amaçlı yazılım işlemleri için gizli bir iletişim kanalı olarak DNS’nin etkinliğini vurgulamaktadır.
Enfekte web sitesi ağının dağıtılmış doğası, DNS trafiğinin meşru görünümü ile birleştiğinde, diğer ağ protokollerine uygulanan aynı yoğunlukla TXT kayıt iletişimini incelemeyebilecek geleneksel güvenlik izleme sistemleri için önemli zorluklar yaratır.
Bu, DNS altyapısının hem komut kanalı hem de içerik dağıtım mekanizması olarak ikili amaca hizmet ettiği, esnek ve tespit edilmesi zor bir tehdit ekosistemi oluşturduğu kötü amaçlı yazılım dağıtım tekniklerinde önemli bir ilerlemeyi temsil eder.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
