- Pesquisadores da DomainTools descobriram uma nova técnica de ataque cibernético que utiliza registros DNS para armazenar arquivos binários maliciosos.
- Os arquivos são convertidos em hexadecimal e armazenados em registros TXT de subdomínios, dificultando sua detecção.
- Essa abordagem permite que scripts maliciosos recuperem arquivos sem baixá-los de sites suspeitos ou anexá-los a e-mails, onde são frequentemente bloqueados.
- Um exemplo dessa técnica foi a hospedagem de um arquivo malicioso relacionado ao Joke Screenmate, fragmentado em centenas de partes e armazenado em subdomínios do domínio whitetreecollective.com.
- A crescente adoção de métodos de criptografia, como DNS over HTTPS e DNS over TLS, torna a identificação de tráfego anômalo ainda mais difícil.
Pesquisadores da DomainTools identificaram uma nova técnica de ataque cibernético que utiliza registros DNS para armazenar arquivos binários maliciosos. Essa abordagem, revelada recentemente, converte arquivos em hexadecimal e os armazena em registros TXT de subdomínios, dificultando sua detecção por ferramentas de segurança.
Essa prática permite que scripts maliciosos e malware em estágio inicial recuperem arquivos binários sem precisar baixá-los de sites suspeitos ou anexá-los a e-mails, onde frequentemente são bloqueados por antivírus. O tráfego de consultas DNS é, em geral, menos monitorado em comparação ao tráfego web e de e-mail, representando uma vulnerabilidade significativa para muitas redes.
Os pesquisadores observaram que a técnica foi utilizada para hospedar um arquivo malicioso relacionado ao Joke Screenmate, um tipo de malware que interfere nas funções normais de um computador. O arquivo foi fragmentado em centenas de partes, cada uma armazenada em um subdomínio do domínio whitetreecollective[.]com. Esses fragmentos foram inseridos em registros TXT, que normalmente são usados para verificar a propriedade de um site.
Um atacante que consiga acessar uma rede protegida pode recuperar cada fragmento por meio de solicitações DNS aparentemente inofensivas, reconstituindo o arquivo malicioso. Ian Campbell, engenheiro sênior de operações de segurança da DomainTools, destacou que a crescente adoção de métodos de criptografia como DNS over HTTPS (DOH) e DNS over TLS (DOT) torna ainda mais difícil a identificação de tráfego anômalo.
Além disso, a DomainTools também encontrou registros DNS que continham textos utilizados para explorar chatbots de IA por meio de uma técnica conhecida como injeção de prompt. Essa técnica permite que atacantes insiram comandos maliciosos em documentos analisados por chatbots, aproveitando a dificuldade dos modelos de linguagem em distinguir entre comandos legítimos e maliciosos. Campbell enfatizou que o DNS, assim como o restante da internet, pode ser um espaço complexo e intrigante.
Entre na conversa da comunidade