Redazione RHC : 17 julio 2025 09:08
Los hackers han aprendido a ocultar malware en lugares prácticamente imposibles de rastrear: en los registros DNS que conectan los nombres de dominio con las direcciones IP. Esta técnica les permite descargar binarios maliciosos sin visitar sitios sospechosos ni usar archivos adjuntos de correo electrónico que los antivirus bloquean fácilmente. El tráfico DNS a menudo es ignorado por la mayoría de las soluciones de seguridad.
Según informaron los investigadores de DomainTools, se ha registrado que esta técnica distribuye el malware Joke Screenmate, un software intrusivo que interfiere con el funcionamiento normal de un ordenador. Su código binario se convirtió a formato hexadecimal y se dividió en cientos de fragmentos. Estos fragmentos se insertaron en los registros TXT de los subdominios del recurso whitetreecollective[.]com, que es el campo de texto del registro DNS, comúnmente utilizado, por ejemplo, para confirmar la propiedad del dominio al conectarse a Google Workspace.
Una vez dentro de una red segura, un atacante puede enviar consultas DNS aparentemente inocuas, recopilando fragmentos de malware y restaurándolos en formato binario. Este esquema es particularmente eficaz en el contexto de las populares tecnologías de cifrado de consultas DNS DNS sobre HTTPS (DOH) y DNS sobre TLS (DOT). Estos protocolos hacen que el tráfico sea opaco hasta que llega al solucionador DNS interno.
«Incluso las grandes empresas con sus propios solucionadores tienen dificultades para distinguir el tráfico DNS legítimo del tráfico no autorizado», afirmó Ian Campbell, ingeniero de DomainTools. Añadió que la situación se está volviendo aún más compleja con el auge del DOH y el DOT, especialmente para las organizaciones que no utilizan el enrutamiento interno de consultas DNS.
Un método similar se ha utilizado durante mucho tiempo para pasar scripts de PowerShell a través de DNS, por ejemplo, en el subdominio 15392.484f5fa5d2.dnsm.in.drsmitty[.]com, otro ejemplo del uso de registros TXT para actividades maliciosas. En otra publicación, el blog de Asher Falcon describe un método para recuperar archivos de registros TXT donde el malware está codificado como texto. Esto permite que el malware se distribuya incluso a través de servicios que no permiten la descarga de archivos binarios.
Los investigadores también se han interesado por los registros DNS que contienen cadenas para ataques a modelos de IA, lo que se conoce como inyección de prompt. Estos ataques permiten incrustar instrucciones ocultas en los documentos analizados por el modelo LLM. Dichos comandos pueden interpretarse como consultas válidas, lo que facilita la manipulación del comportamiento de la IA.
Entre las pistas encontradas:
Campbell observa: «Al igual que el resto de Internet, el DNS puede ser un lugar extraño y fascinante.»
RedazioneLos piratas informáticos apuntan cada vez más a las copias de seguridad: no a los sistemas o servidores, sino a los datos que las empresas conservan durante un período de tiempo limitado para poder...
Dos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...
Ya habíamos debatido la propuesta de regulación «ChatControl» hace casi dos años, pero dada la hoja de ruta en curso, nos avergüenza tener que volver a debatirla. Parece un déjà vu, pero en lu...
En un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
