Redazione RHC : 17 Luglio 2025 09:05
Gli hacker hanno imparato a nascondere il malware in luoghi dove è praticamente impossibile tracciarlo: nei record DNS che collegano i nomi di dominio agli indirizzi IP. Questa tecnica consente di scaricare file binari dannosi senza visitare siti sospetti o utilizzare allegati email facilmente bloccabili dai software antivirus. Il traffico DNS viene spesso ignorato dalla maggior parte delle soluzioni di sicurezza.
Come riportato dai ricercatori di DomainTools, è stato registrato l’utilizzo di questa tecnica per distribuire il malware Joke Screenmate , un software intrusivo che interferisce con il normale funzionamento di un computer. Il suo codice binario è stato convertito in formato esadecimale e suddiviso in centinaia di frammenti. Questi frammenti sono stati inseriti nei record TXT dei sottodomini della risorsa whitetreecollective[.]com, ovvero il campo di testo del record DNS, comunemente utilizzato, ad esempio, per confermare la proprietà del dominio quando ci si connette a Google Workspace.
Una volta all’interno di una rete sicura, un aggressore può inviare query DNS apparentemente innocue, raccogliendo frammenti di malware e ripristinandoli in formato binario. Questo schema è particolarmente efficace nel contesto delle diffuse tecnologie di crittografia delle query DNS: DNS over HTTPS (DOH) e DNS over TLS (DOT) . Tali protocolli rendono il traffico opaco finché non raggiunge il resolver DNS interno.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
“Anche le grandi aziende con i propri resolver hanno difficoltà a distinguere il traffico DNS legittimo da quello anomalo”, ha affermato Ian Campbell, ingegnere di DomainTools. Ha aggiunto che la situazione sta diventando ancora più complessa con l’ascesa di DOH e DOT, soprattutto per le organizzazioni che non utilizzano il routing interno delle richieste DNS.
Un metodo simile è stato a lungo utilizzato per passare script di PowerShell tramite DNS, ad esempio su un sottodominio 15392.484f5fa5d2.dnsm.in.drsmitty[.]com: un altro esempio di utilizzo di record TXT per attività dannose. In un altro post, il blog di Asher Falcon descrive un metodo per recuperare file da record TXT in cui il malware è codificato come testo. Questo permette al malware di essere distribuito anche tramite servizi che non consentono il download di file binari.
L’attenzione dei ricercatori è stata inoltre attirata dai record DNS contenenti stringhe per attacchi ai modelli di intelligenza artificiale, i cosiddetti prompt injection . Questi attacchi consentono di incorporare istruzioni nascoste nei documenti analizzati dal modello LLM. Tali comandi possono essere interpretati come query valide, aprendo la strada alla manipolazione del comportamento dell’intelligenza artificiale.
Tra gli indizi trovati:
Campbell osserva: “Come il resto di Internet, il DNS può essere un posto strano e affascinante.”
HackerHood, il team di hacker etici di Red Hot Cyber, ha realizzato qualcosa che raramente si vede fuori dalle conferenze più esclusive: un workshop live in cui viene mostrato, passo dopo passo, ...
Google ha rilasciato un aggiornamento di emergenza per il browser Chrome, eliminando sei vulnerabilità contemporaneamente, una delle quali è già attivamente sfruttata in attacchi reali....
L’operazione internazionale “Eastwood” rappresenta uno spartiacque nella lotta contro il cyberterrorismo. Per la prima volta, un’azione coordinata su scala mondiale ha infe...
Nell’ambito delle indagini condotte dalla Procura della Repubblica di Roma e con il coordinamento della Direzione Nazionale Antimafia e Antiterrorismo, la Polizia Postale ha portato a termine i...
L’11 luglio, ora locale, è stato rivelato che Google DeepMind aveva “reclutato” con successo il team principale della startup di intelligenza artificiale Windsurf. Non molto ...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006