A DomainTools revelou nesta semana uma descoberta alarmante: cibercriminosos estão explorando uma técnica extremamente sofisticada para espalhar malware através do Domain Name System (DNS), transformando a infraestrutura básica da internet em um sistema de armazenamento e distribuição de arquivos maliciosos. A abordagem permite aos atacantes contornarem antivírus e outros mecanismos de segurança tradicionais, já que o tráfego DNS raramente é monitorado com o mesmo rigor aplicado ao tráfego web ou de e-mails.

• Veo3 pode ser usado para enganar sistemas de reconhecimento facial
• Falha no Windows Hello permite login com rosto de outra pessoa

O novo exploit explora o tunelamento de DNS, técnica legítima utilizada para transmissão, geralmente secreta, de arquivos. Nesse cenário, entretanto, indivíduos mal-intencionados convertem arquivos maliciosos do formato binário para hexadecimal e os fragmentam em centenas de pedaços menores. Cada fragmento é então armazenado em registros DNS TXT de diferentes subdomínios, criando uma rede distribuída de componentes maliciosos que podem ser recuperados através de consultas DNS aparentemente legítimas.

Os riscos da nova abordagem são substanciais tanto para usuários domésticos quanto para empresas. Como o DNS é um dos pilares do funcionamento da internet e seu tráfego passa rotineiramente através de firewalls corporativos com inspeção mínima, os atacantes ganham acesso a um “ponto cego” nas defesas de segurança. Isso permite não apenas a distribuição de malware, mas também a criação de canais de comando e controle (C2) praticamente invisíveis aos sistemas de monitoramento tradicionais.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Entenda como é possível espalhar malware pelo DNS

O Domain Name System funciona como a “lista telefônica da internet”, traduzindo nomes de domínio legíveis para humanos em endereços IP numéricos que os computadores compreendem. Quando você digita um endereço como canaltech.com.br, o DNS é responsável por localizar o servidor correto onde o site está hospedado. Esse processo envolve uma série de consultas hierárquicas que começam nos servidores de domínio de alto nível (TLD) e terminam nos servidores autoritativos que possuem as informações específicas do domínio solicitado.

O tunelamento de DNS explora uma característica específica dos registros TXT, que são capazes de armazenar texto arbitrário e frequentemente usados para verificar a propriedade de sites ao configurar serviços como o Google Workspace. Os cibercriminosos descobriram que podem “fatiar” arquivos maliciosos em fragmentos hexadecimais e armazenar cada pedaço em registros TXT de subdomínios sequenciais. Um hacker que obtém acesso a uma rede protegida pode então recuperar cada fragmento através de consultas DNS aparentemente inocentes e remontá-los para reconstituir o arquivo malicioso original.

A DomainTools observou essa técnica sendo usada para distribuir o malware Joke Screenmate através do domínio whitetreecollective.com. Os pesquisadores encontraram centenas de subdomínios numerados sequencialmente, cada um contendo um fragmento diferente do arquivo executável convertido para hexadecimal.

O processo começava com o cabeçalho mágico “4d5a” (que identifica arquivos executáveis Windows) e continuava através de subdomínios como “1.felix.stf.whitetreecollective.com”, “2.felix.stf.whitetreecollective.com” e assim por diante. Quando remontados na ordem correta, os fragmentos formavam arquivos executáveis completos com hashes SHA256 específicos, confirmando a integridade do malware distribuído.

Por que novo exploit é tão perigoso?

A sofisticação dessa técnica reside principalmente na sua capacidade de contornar praticamente todos os mecanismos de defesa convencionais. Enquanto o tráfego web e de e-mail é sempre examinado por soluções de segurança em busca de ameaças, o tráfego DNS representa um ponto cego na grande maioria das organizações. Como explicou Ian Campbell, engenheiro sênior de operações de segurança da DomainTools, “mesmo organizações sofisticadas com seus próprios resolvedores DNS internos têm dificuldade em distinguir tráfego DNS autêntico de solicitações anômalas”.

O problema se agrava com a adoção crescente de protocolos criptografados como DNS over HTTPS (DoH) e DNS over TLS (DoT). Essas tecnologias, embora benéficas para a privacidade, tornam ainda mais difícil para organizações e corporações monitorarem e analisarem consultas DNS suspeitas. “A proliferação do DoH e DoT contribui para isso ao criptografar o tráfego DNS até que chegue ao resolvedor, o que significa que, a menos que você seja uma dessas empresas fazendo sua própria resolução DNS interna, você nem pode dizer qual é a solicitação, muito menos se é normal ou suspeita”, destacou Campbell.

Para usuários domésticos, os riscos incluem a instalação silenciosa de malware que pode roubar informações pessoais, transformar computadores em parte de botnets ou simplesmente causar instabilidade no sistema. O Joke Screenmate identificado pela DomainTools, por exemplo, é projetado para simular ações destrutivas, interferir no controle do usuário sobre o sistema e consumir recursos computacionais, podendo levar a travamentos. Para empresas, a ameaça é ainda mais séria, pois pode resultar em violações de dados, espionagem industrial, fraudes financeiras e interrupção de operações críticas.

A descoberta da DomainTools encontra paralelos preocupantes com o recente caso documentado pela Infoblox, em que hackers exploram a Help TDS para atacar sites WordPress através de campanhas DNS TXT record. Nesse esquema, criminosos injetam scripts maliciosos em sites comprometidos que fazem consultas DNS contendo informações codificadas sobre visitantes, permitindo que servidores de comando e controle determinem como responder de forma personalizada.

Ambos os casos são exemplos de como o DNS está se tornando alvo de atividades maliciosas devido à sua natureza indispensável no funcionamento da internet e relativamente não monitorada.

Como se proteger do novo exploit

A proteção contra ataques via tunelamento de DNS exige uma abordagem multicamada que combine tecnologias avançadas de monitoramento com políticas organizacionais rigorosas. A primeira linha de defesa deve incluir soluções especializadas em análise de tráfego DNS que possam identificar padrões suspeitos, como consultas excessivamente longas, sequências de subdomínios numerados ou solicitações para registros TXT com conteúdo codificado em hexadecimal.

Organizações devem implementar ferramentas de detecção de tunelamento de DNS com algoritmos de machine learning para identificar comportamentos anômalos. Soluções como as oferecidas pela Infoblox podem detectar domínios de tunelamento em questão de minutos, frequentemente antes que o handshake seja completado. Essas ferramentas analisam características como entropia de consultas, frequência de solicitações e padrões de subdominios para distinguir entre tráfego legítimo e malicioso.

Para usuários domésticos e pequenas empresas, a proteção passa pela configuração de resolvedores DNS seguros que incluam filtragem de domínios maliciosos e monitoramento básico de comportamento. Serviços como Cloudflare for Families, Quad9 ou OpenDNS oferecem camadas adicionais de proteção, bloqueando domínios conhecidamente maliciosos e identificando padrões suspeitos de consulta.

A educação e conscientização também desempenham um papel importante na prevenção. Equipes de TI devem ser treinadas para reconhecer indicadores de tunelamento de DNS, como picos incomuns no tráfego de consultas, consultas para domínios com subdomínios numerados sequencialmente ou solicitações frequentes para registros TXT de domínios desconhecidos. Implementar políticas de segurança que incluam auditoria regular de tráfego DNS e análise de logs pode mostrar tentativas de exploração antes que causem danos significativos.

Por fim, as empresas e organizações devem considerar a implementação de soluções de segurança que integrem monitoramento DNS com outras ferramentas de defesa. Isso inclui sistemas de detecção e resposta a incidentes (SIEM) configurados para correlacionar eventos DNS suspeitos com outros indicadores de compromisso, criando uma visão mais completa do panorama de ameaças e permitindo respostas mais rápidas e eficazes a possíveis ataques.

Leia mais no Canaltech

• O que é um DNS privado?
• Como limpar cache de rede | Flush DNS
• Por que problemas com DNS resultam em sites fora do ar

Leia a matéria no Canaltech.