Un equipo de investigadores de DomainTools ha revelado una técnica innovadora empleada por cibercriminales para distribuir malware a través de registros TXT del sistema DNS, un componente esencial de la infraestructura de Internet. Estos hallazgos, obtenidos tras el análisis de actividad maliciosa en tres dominios durante 2021 y 2022, exponen cómo actores amenazantes almacenan fragmentos de archivos maliciosos en subdominios, convirtiendo el DNS en un vehículo inadvertido para el cibercrimen.
Tradicionalmente utilizados para información auxiliar de un dominio, los registros TXT han sido subvertidos para ocultar datos como ejecutables y scripts. Este método sofisticado implica la fragmentación de archivos en cadenas hexadecimales, distribuidos estratégicamente en subdominios de un dominio principal. Un ejemplo investigado fue *.felix.stf.whitetreecollective[.]com, que escondía datos secuenciados.
Utilizando scripts generados por inteligencia artificial, los investigadores lograron reconstruir dos archivos ejecutables, identificados como un tipo de malware denominado Joke Screenmate. Aunque principalmente molestos, estos programas pueden actuar como distracciones para ataques más serios.
Más alarmante es el descubrimiento de comandos maliciosos embebidos en registros DNS, capaces de iniciar conexiones a servidores de control remoto. Por ejemplo, un script escondido en drsmitty[.]com descargaba cargas desde otro dominio, imitando acciones de un servidor Covenant C2, una plataforma utilizada tanto en pruebas de seguridad como en actividades delictivas.
La técnica revela varias razones de preocupación. La persistencia de estos registros, su dificultad para ser detectados y la capacidad para prescindir de servidores maliciosos tradicionales son aspectos que aumentan la efectividad de estos ataques. Esto subraya la necesidad de una vigilancia constante y la integración de análisis de registros DNS en los protocolos de seguridad cibernética.
Este uso del DNS evidencia la creatividad y persistencia de los cibercriminales, quienes exploran continuamente nuevos métodos para burlar las defensas convencionales. Para contrarrestar esta amenaza, los equipos de seguridad deben implementar herramientas avanzadas de monitoreo y detección que analicen tanto los registros DNS como el comportamiento de la red.
En resumen, el malware ha encontrado un nuevo escondite en la infraestructura de Internet, obligando a los defensores a adaptarse a un panorama de amenazas en constante evolución. Estos descubrimientos refuerzan la importancia de una vigilancia continua de servicios considerados tradicionalmente neutrales, sugiriendo que el futuro podría estar lleno de desafíos aún más complejos.
Más información y referencias en Noticias Cloud.
