Redazione RHC : 17 julio 2025 09:08
Los hackers han aprendido a ocultar malware en lugares prácticamente imposibles de rastrear: en los registros DNS que conectan los nombres de dominio con las direcciones IP. Esta técnica les permite descargar binarios maliciosos sin visitar sitios sospechosos ni usar archivos adjuntos de correo electrónico que los antivirus bloquean fácilmente. El tráfico DNS a menudo es ignorado por la mayoría de las soluciones de seguridad.
Según informaron los investigadores de DomainTools, se ha registrado que esta técnica distribuye el malware Joke Screenmate, un software intrusivo que interfiere con el funcionamiento normal de un ordenador. Su código binario se convirtió a formato hexadecimal y se dividió en cientos de fragmentos. Estos fragmentos se insertaron en los registros TXT de los subdominios del recurso whitetreecollective[.]com, que es el campo de texto del registro DNS, comúnmente utilizado, por ejemplo, para confirmar la propiedad del dominio al conectarse a Google Workspace.
Una vez dentro de una red segura, un atacante puede enviar consultas DNS aparentemente inocuas, recopilando fragmentos de malware y restaurándolos en formato binario. Este esquema es particularmente eficaz en el contexto de las populares tecnologías de cifrado de consultas DNS DNS sobre HTTPS (DOH) y DNS sobre TLS (DOT). Estos protocolos hacen que el tráfico sea opaco hasta que llega al solucionador DNS interno.
«Incluso las grandes empresas con sus propios solucionadores tienen dificultades para distinguir el tráfico DNS legítimo del tráfico no autorizado», afirmó Ian Campbell, ingeniero de DomainTools. Añadió que la situación se está volviendo aún más compleja con el auge del DOH y el DOT, especialmente para las organizaciones que no utilizan el enrutamiento interno de consultas DNS.
Un método similar se ha utilizado durante mucho tiempo para pasar scripts de PowerShell a través de DNS, por ejemplo, en el subdominio 15392.484f5fa5d2.dnsm.in.drsmitty[.]com, otro ejemplo del uso de registros TXT para actividades maliciosas. En otra publicación, el blog de Asher Falcon describe un método para recuperar archivos de registros TXT donde el malware está codificado como texto. Esto permite que el malware se distribuya incluso a través de servicios que no permiten la descarga de archivos binarios.
Los investigadores también se han interesado por los registros DNS que contienen cadenas para ataques a modelos de IA, lo que se conoce como inyección de prompt. Estos ataques permiten incrustar instrucciones ocultas en los documentos analizados por el modelo LLM. Dichos comandos pueden interpretarse como consultas válidas, lo que facilita la manipulación del comportamiento de la IA.
Entre las pistas encontradas:
Campbell observa: «Al igual que el resto de Internet, el DNS puede ser un lugar extraño y fascinante.»
RedazioneUn hallazgo excepcional de los primeros tiempos de Unix podría llevar a los investigadores a los mismísimos orígenes del sistema operativo. En la Universidad de Utah se descubrió una cinta magnét...
Imagina una ciudad futurista dividida en dos: por un lado, relucientes torres de innovación; por el otro, el caos y las sombras de la pérdida de control. Esta no es una visión distópica, sino el p...
Había una vez un pueblo con un Bosque Mágico. Sus habitantes se sentían orgullosos de tenerlo, incluso un poco orgullosos. Por eso, todos sacrificaban gustosamente algunas pequeñas comodidades par...
Según informes, los servicios de inteligencia surcoreanos , incluido el Servicio Nacional de Inteligencia, creen que existe una alta probabilidad de que el presidente estadounidense Donald Trump cele...
En 2025, los usuarios siguen dependiendo en gran medida de contraseñas básicas para proteger sus cuentas. Un estudio de Comparitech, basado en un análisis de más de 2 mil millones de contraseñas ...
