Hackers ocultam malware em registros DNS para driblar sistemas de segurança

Pesquisadores de segurança identificaram uma técnica em que cibercriminosos utilizam registros DNS para armazenar e distribuir malwares em estágio inicial.

A abordagem permite que scripts maliciosos acessem arquivos binários sem recorrer ao download via sites suspeitos ou anexos de e-mail — canais que costumam ser monitorados e bloqueados por soluções antivírus. Isso é possível porque o tráfego DNS, muitas vezes, é negligenciado por ferramentas de segurança, funcionando como um “ponto cego” da internet.

No caso observado, os invasores converteram um arquivo binário do malware Joke Screenmate — conhecido por interferir em funções seguras do sistema — para o formato hexadecimal. Esse conteúdo foi então fragmentado em centenas de partes, cada uma armazenada em registros TXT de subdomínios distintos pertencentes a um mesmo domínio.

Após obter acesso inicial à rede, o atacante pode realizar consultas DNS aparentemente legítimas para recuperar cada fragmento, remontá-los e reconvertê-los para o formato original, contornando mecanismos tradicionais de detecção.