Parece que incluso los registros DNS pueden ser infectados por malware.
Delincuentes encontraron una forma de descomponer malware y ocultan su presencia en los servidores DNS.
Recientes investigaciones han revelado que ciberdelincuentes están utilizando la infraestructura del Sistema de Nombres de Dominio (DNS) para ocultar malware, evadiendo así la detección de las medidas de seguridad convencionales. Este malware en particular, denominado Joke Screenmate, ha sido señalado por expertos en ciberseguridad de Domain Tools, quienes explicaron a través de un blog cómo se esconde en los servidores DNS.
El DNS se puede comparar con una agenda de direcciones de internet, ya que traduce nombres de dominio legibles (como techradar.com) a direcciones IP que utilizan los computadores para acceder a diferentes servicios. Dentro de los registros DNS, existen varios tipos, siendo los registros TXT los más comunes para almacenar texto descriptivo.
De acuerdo con lo mencionado por los investigadores, los atacantes han ideado un método para dividir el malware en fragmentos pequeños y codificados, que son luego distribuidos en registros TXT bajo distintos subdominios. Este enfoque se asemeja a un rompecabezas digital disperso entre diversas direcciones. Cada fragmento por separado no representa una amenaza, pero al ser recombinados, forman un archivo malicioso.
Mediante herramientas de programación, los ciberdelincuentes pueden consultar los registros DNS y volver a ensamblar el malware sin activar alarmas de seguridad. Dado que el tráfico de DNS es generalmente considerado fiable, este método no despierta sospechas.
En su análisis, los investigadores encontraron que Joke Screenmate es un programa que produce errores falsos en el sistema y provoca comportamientos anómalos en el cursor. Más preocupantemente, también identificaron un activador de PowerShell, un script que tiene la capacidad de descargar y ejecutar malware más destructivo.
A pesar de la astucia de esta técnica de ataque, existen medidas defensivas que las equipos de ciberseguridad pueden adoptar. Es recomendable implementar la monitorización del tráfico DNS en busca de patrones inusuales y consultas repetidas de registros TXT. Además, se sugiere usar herramientas que analicen los registros DNS más allá de funciones de resolución simples, así como mantener alimentados los sistemas de inteligencia sobre amenazas con dominios y subdominios maliciosos.
Aunque hasta el momento no se han documentado muchos casos de abuso de esta técnica en la naturaleza, el simple hecho de que sea relativamente fácil de ejecutar podría acelerar su adopción en los próximos meses.
