Investigadores Revelan Uso Malicioso de Registros TXT en DNS
Uma nova pesquisa liderada pela DomainTools revelou um método sofisticado utilizado por cibercriminosos para armazenar e distribuir malware através de registros TXT do sistema de nomes de domínio (DNS). A técnica, identificada em pelo menos três domínios entre 2021 e 2022, permite ocultar fragmentos de arquivos executáveis e scripts de ataque em subdomínios sem levantar suspeitas.
Os registros TXT, que tradicionalmente armazenam informações como verificações de e-mail, foram transformados em uma ferramenta para atividades maliciosas, comprometendo a integridade da infraestrutura da internet. Os pesquisadores descobriram que arquivos, como executáveis, eram fragmentados em partes menores e convertidos em hexadecimal, sendo então dispersados em vários registros TXT sob um domínio principal, como no caso de "*.felix.stf.whitetreecollective[.]com".
Utilizando um script gerado por inteligência artificial, os cientistas conseguiram reconstruir os arquivos, revelando executáveis relacionados ao malware conhecido como Joke Screenmate. Essa "brincadeira" pode causar comportamentos disruptivos nos sistemas, dificultando o controle e degradando a experiência do usuário, mas também serve como uma cortina de fumaça para ataques mais sérios.
Além disso, a pesquisa expôs uma utilização ainda mais perigosa dos registros DNS: a inserção de comandos maliciosos, como scripts PowerShell, que se conectam a servidores de controle. Em um dos registros analisados, um script foi descoberto atuando como um intermediário para baixar cargas úteis de um domínio malicioso.
A persistência desses registros é alarmante, pois podem permanecer ativos por longos períodos, tornando-os difíceis de detectar por soluções de segurança que não consideram o tráfego DNS como suspeito. A necessidade de monitorar não apenas as consultas DNS, mas também seu conteúdo, torna-se imperativa.
Os defensores contra ciberataques devem incorporar análises de registros DNS em suas estratégias de inteligência de ameaças, adotando regras de detecção para identificar comportamentos anômalos. A pesquisa evidencia que o malware não está restrito a e-mails ou links maliciosos, mas pode se esconder em locais inesperados da infraestrutura da internet, destacando a necessidade de vigilância constante e inovação na defesa cibernética.
Com essas novas descobertas, especialistas alertam que o problema pode ser apenas o começo de uma nova era de ciberataques, onde métodos criativos e furtivos são utilizados para comprometer sistemas em todo o mundo.
