Hackers usam DNS para controlar malwares nos computadores das vítimas

Por Felipe Demartini | 11 de Março de 2020 às 11h22

Pesquisadores de segurança descobriram uma nova modalidade de malware que utiliza DNS para receber comandos de seus controladores e executar tarefas no computador das vítimas. A praga, que foi batizada como Mozart, foi considerada um “caso clássico” de exploração do protocolo, pois suas solicitações podem passar despercebidas por softwares de segurança e firewalls.

Descoberta pelos especialistas do MalwareHunterTeam, a praga chega por e-mails de phishing oferecendo promoções ou simulando comunicações de instituições com quem a possível vítima tenha contato. O Mozart aparece em arquivos no formato PDF ou ZIP, instalados a partir de um site que está sob o controle dos hackers. Quando executado, se instala em meio aos arquivos temporários do Windows e permanece aguardando os comandos dos responsáveis.

Executado junto com o sistema operacional, o malware envia requisições constantes para um servidor DNS sob o controle dos hackers em busca de comandos para execução remota. Essa tecnologia, que serve para converter endereços IP em URLs amigáveis, também pode trafegar arquivos TXT com requisições, e é aí que o trabalho dos atacantes acontece.

De acordo com testes realizados pelo MalwareHunterTeam, o Mozart permanece inativo e, pelo menos durante o período em que permaneceu sob vigilância, não recebeu nenhuma ordem de seus controladores. Por se tratar de uma praga relativamente nova, os especialistas acreditam que a rede de controle ainda está sendo construída, com os criminosos aproveitando esse tempo para montarem uma base de computadores comprometidos.

Como os contatos com servidores DNS não passam pela verificação de softwares de segurança, o melhor caminho para evitar uma infecção como essa é não clicar em anexos ou executar arquivos que cheguem por e-mail. Bloquear os endereços ligados ao Mozart também pode ser um caminho, mas nada impede que os hackers modifiquem esse aspecto e continuem agindo a partir de outra origem.

Aos usuários corporativos, normalmente mais afetados por esse tipo de problema, outra solução é bloquear o acesso externo a qualquer DNS que não seja o oficial, usado para acesso à internet por meio da rede interna. Assim, de acordo com os especialistas, é possível monitorar o tráfego e localizar mais facilmente os problemas dessa categoria.

Fonte: MalwareHunterTeam (Twitter), Bleeping Computer  

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.