Redazione RHC : 17 julio 2025 09:08
Los hackers han aprendido a ocultar malware en lugares prácticamente imposibles de rastrear: en los registros DNS que conectan los nombres de dominio con las direcciones IP. Esta técnica les permite descargar binarios maliciosos sin visitar sitios sospechosos ni usar archivos adjuntos de correo electrónico que los antivirus bloquean fácilmente. El tráfico DNS a menudo es ignorado por la mayoría de las soluciones de seguridad.
Según informaron los investigadores de DomainTools, se ha registrado que esta técnica distribuye el malware Joke Screenmate, un software intrusivo que interfiere con el funcionamiento normal de un ordenador. Su código binario se convirtió a formato hexadecimal y se dividió en cientos de fragmentos. Estos fragmentos se insertaron en los registros TXT de los subdominios del recurso whitetreecollective[.]com, que es el campo de texto del registro DNS, comúnmente utilizado, por ejemplo, para confirmar la propiedad del dominio al conectarse a Google Workspace.
Una vez dentro de una red segura, un atacante puede enviar consultas DNS aparentemente inocuas, recopilando fragmentos de malware y restaurándolos en formato binario. Este esquema es particularmente eficaz en el contexto de las populares tecnologías de cifrado de consultas DNS DNS sobre HTTPS (DOH) y DNS sobre TLS (DOT). Estos protocolos hacen que el tráfico sea opaco hasta que llega al solucionador DNS interno.
«Incluso las grandes empresas con sus propios solucionadores tienen dificultades para distinguir el tráfico DNS legítimo del tráfico no autorizado», afirmó Ian Campbell, ingeniero de DomainTools. Añadió que la situación se está volviendo aún más compleja con el auge del DOH y el DOT, especialmente para las organizaciones que no utilizan el enrutamiento interno de consultas DNS.
Un método similar se ha utilizado durante mucho tiempo para pasar scripts de PowerShell a través de DNS, por ejemplo, en el subdominio 15392.484f5fa5d2.dnsm.in.drsmitty[.]com, otro ejemplo del uso de registros TXT para actividades maliciosas. En otra publicación, el blog de Asher Falcon describe un método para recuperar archivos de registros TXT donde el malware está codificado como texto. Esto permite que el malware se distribuya incluso a través de servicios que no permiten la descarga de archivos binarios.
Los investigadores también se han interesado por los registros DNS que contienen cadenas para ataques a modelos de IA, lo que se conoce como inyección de prompt. Estos ataques permiten incrustar instrucciones ocultas en los documentos analizados por el modelo LLM. Dichos comandos pueden interpretarse como consultas válidas, lo que facilita la manipulación del comportamiento de la IA.
Entre las pistas encontradas:
Campbell observa: «Al igual que el resto de Internet, el DNS puede ser un lugar extraño y fascinante.»
RedazioneEn su última actualización, el gigante tecnológico corrigió 175 vulnerabilidades que afectaban a sus productos principales y sistemas subyacentes, incluyendo dos vulnerabilidades de día cero expl...
Ivanti ha publicado 13 vulnerabilidades en su software Endpoint Manager (EPM) , incluidas dos fallas de alta gravedad que podrían permitir la ejecución remota de código y la escalada de privilegios...
Los analistas de Sophos descubrieron una compleja operación de malware realizada por expertos en seguridad que utiliza el popular servicio de mensajería WhatsApp para propagar troyanos bancarios, ap...
Se ha identificado una vulnerabilidad crítica en la arquitectura de seguridad de hardware AMD SEV-SNP, que afecta a los principales proveedores de servicios en la nube (AWS, Microsoft Azure y Google ...
La empresa israelí NSO Group, desarrolladora del infame software espía Pegasus , quedó recientemente bajo el control de inversores estadounidenses. Un portavoz de la compañía anunció que la nuev...
