Pesquisadores da DomainTools descobriram um método de ataque que utiliza registros DNS para distribuir o malware Joga Companheiro de Tela, que interfere no funcionamento normal do computador. O código malicioso foi convertido para hexadecimal, dividido em centenas de fragmentos e inserido no campo TXT de subdomínios do domínio whitetreecollective[.]com, normalmente usado para validações de propriedade de domínio.
Leia também
Fortinet corrige falha crítica em seu WAF
Vulnerabilidades no módulo UEFI de placas Gigabyte
Ao entrar em uma rede protegida, o invasor envia requisições DNS aparentemente inofensivas, que reconstroem o arquivo malicioso sem a necessidade de acessar sites suspeitos ou disparar alertas em ferramentas antivírus. A técnica é especialmente eficaz em redes que usam DNS sobre HTTPS (DoH) e DNS sobre TLS (DoT), que criptografam o tráfego até o resolvedor interno.
Segundo Ian Campbell, engenheiro da DomainTools, mesmo grandes organizações com seus próprios resolvedores enfrentam dificuldades para diferenciar tráfego DNS legítimo de consultas anômalas. A situação tende a piorar com a adoção crescente do DoH e DoT por empresas que não realizam roteamento interno dessas requisições.
A técnica já foi usada anteriormente para transmissão de scripts PowerShell via DNS e descrita em publicações como a do blog de Asher Falcon. Ao codificar arquivos maliciosos como texto, atacantes conseguem distribuí-los mesmo em plataformas que bloqueiam binários.
Os pesquisadores também observaram registros DNS com comandos voltados a manipular modelos de inteligência artificial, como instruções para ignorar regras anteriores, retornar dados aleatórios ou excluir informações de treinamento. O caso mostra como o DNS segue sendo explorado como canal alternativo de ataque, muitas vezes invisível para sistemas de proteção tradicionais.
