Un reciente descubrimiento realizado por investigadores de DomainTools ha revelado un novedoso método empleado por ciberdelincuentes para almacenar y distribuir malware a través de registros TXT del sistema de nombres de dominio (DNS). Este enfoque, lejos de ser meramente teórico, ha sido documentado en al menos tres dominios durante los años 2021 y 2022, utilizando subdominios para ocultar fragmentos de archivos ejecutables y scripts de ataque, sin ser detectados.
El DNS, fundamental para el funcionamiento de Internet, traduce nombres de dominio en direcciones IP. Sin embargo, los registros TXT, inicialmente destinados a contener información relacionada con un dominio, han sido aprovechados por el crimen cibernético. La técnica identificada consiste en fragmentar archivos y convertirlos en formato hexadecimal, almacenándolos en registros TXT de subdominios, como fue el caso investigado de *.felix.stf.whitetreecollective[.]com.
Los investigadores, utilizando scripts de inteligencia artificial, lograron reconstruir estos archivos, identificando dos ejecutables del malware conocido como Joke Screenmate. Este software simula acciones molestas en el sistema, aunque aparentemente inofensivo, puede servir de distracción para otros ataques.
Además, DomainTools reporta un uso más peligroso: la inclusión de comandos codificados, como scripts en PowerShell, que establecen conexiones con servidores de control (C2). Un registro asociado a drsmitty[.]com contenía un script para descargar cargas útiles desde el dominio cspg[.]pw, un comportamiento típico de un servidor Covenant C2, utilizado tanto en pruebas de penetración como por cibercriminales.
Este método es preocupante por su persistencia, dificultad de detección y reducción de la dependencia de servidores maliciosos visibles. Los registros DNS pueden permanecer activos por largos periodos y el uso legítimo del protocolo DNS hace que muchas herramientas de seguridad no lo consideren sospechoso.
Para los defensores cibernéticos, este caso subraya la necesidad de monitorear no solo las consultas de DNS, sino también su contenido. Herramientas como DNSDB Scout pueden ser efectivas para identificar patrones sospechosos. Además, es esencial integrar el análisis de registros DNS en los flujos de inteligencia de amenazas, aplicando reglas para detectar comportamientos anómalos.
Entre 2021 y 2022, estas técnicas permitieron a actores maliciosos utilizar el sistema DNS como una plataforma de almacenamiento y distribución de malware. Aunque la utilización del DNS para estos fines no es nueva, la sofisticación y el automatismo actual son alarmantes. Esto recalca la importancia de una vigilancia continua y una evaluación más acuciosa de servicios de red considerados neutrales.
El malware ya no se limita a correos electrónicos o enlaces maliciosos, puede permanecer oculto en los lugares menos esperados de la infraestructura de Internet, advirtiendo que esto podría ser solo el comienzo de nuevas amenazas cibernéticas.
