Redazione RHC : 17 julio 2025 09:08
Los hackers han aprendido a ocultar malware en lugares prácticamente imposibles de rastrear: en los registros DNS que conectan los nombres de dominio con las direcciones IP. Esta técnica les permite descargar binarios maliciosos sin visitar sitios sospechosos ni usar archivos adjuntos de correo electrónico que los antivirus bloquean fácilmente. El tráfico DNS a menudo es ignorado por la mayoría de las soluciones de seguridad.
Según informaron los investigadores de DomainTools, se ha registrado que esta técnica distribuye el malware Joke Screenmate, un software intrusivo que interfiere con el funcionamiento normal de un ordenador. Su código binario se convirtió a formato hexadecimal y se dividió en cientos de fragmentos. Estos fragmentos se insertaron en los registros TXT de los subdominios del recurso whitetreecollective[.]com, que es el campo de texto del registro DNS, comúnmente utilizado, por ejemplo, para confirmar la propiedad del dominio al conectarse a Google Workspace.
Una vez dentro de una red segura, un atacante puede enviar consultas DNS aparentemente inocuas, recopilando fragmentos de malware y restaurándolos en formato binario. Este esquema es particularmente eficaz en el contexto de las populares tecnologías de cifrado de consultas DNS DNS sobre HTTPS (DOH) y DNS sobre TLS (DOT). Estos protocolos hacen que el tráfico sea opaco hasta que llega al solucionador DNS interno.
«Incluso las grandes empresas con sus propios solucionadores tienen dificultades para distinguir el tráfico DNS legítimo del tráfico no autorizado», afirmó Ian Campbell, ingeniero de DomainTools. Añadió que la situación se está volviendo aún más compleja con el auge del DOH y el DOT, especialmente para las organizaciones que no utilizan el enrutamiento interno de consultas DNS.
Un método similar se ha utilizado durante mucho tiempo para pasar scripts de PowerShell a través de DNS, por ejemplo, en el subdominio 15392.484f5fa5d2.dnsm.in.drsmitty[.]com, otro ejemplo del uso de registros TXT para actividades maliciosas. En otra publicación, el blog de Asher Falcon describe un método para recuperar archivos de registros TXT donde el malware está codificado como texto. Esto permite que el malware se distribuya incluso a través de servicios que no permiten la descarga de archivos binarios.
Los investigadores también se han interesado por los registros DNS que contienen cadenas para ataques a modelos de IA, lo que se conoce como inyección de prompt. Estos ataques permiten incrustar instrucciones ocultas en los documentos analizados por el modelo LLM. Dichos comandos pueden interpretarse como consultas válidas, lo que facilita la manipulación del comportamiento de la IA.
Entre las pistas encontradas:
Campbell observa: «Al igual que el resto de Internet, el DNS puede ser un lugar extraño y fascinante.»
RedazioneEn el marco de las investigaciones llevadas a cabo por la Fiscalía de Roma y coordinadas por la Dirección Nacional Antimafia y Antiterrorista, la Policía Postal ha completado importante...
Las vulnerabilidades de día cero son uno de los mayores riesgos de ciberseguridad para las organizaciones. Se trata de vulnerabilidades desconocidas y sin parchear que los atacantes explotan para...
Las amenazas persistentes avanzadas (APT) son actores maliciosos que operan en la sombra de internet, llevando a cabo ataques altamente sofisticados y dirigidos. Estos grupos, a menudo asociados con e...
Los ataques de denegación de servicio distribuido (DDoS) son una de las amenazas más comunes para sitios web, servidores y otras infraestructuras en línea. En concreto, este tipo de ata...
Por Centro de Defensa Cibernética Maticmind (Andrea Mariucci, Riccardo Michetti, Federico Savastano, Ada Spinelli) El actor de amenazas Scattered Spider, UNC9344, apareció en 2022 con dos at...
Para más información: [email protected]
