Explotan los DNS de Google a través de HTTPS para bajar malware

Explotan los DNS de Google a través de HTTPS para bajar malware

Javier Jiménez

Los piratas informáticos han vuelto a encontrar una nueva manera de lograr sus objetivos y comprometer la seguridad de los usuarios. En esta ocasión abusan de los DNS de Google a través de HTTPS para poder descargar malware. Hay que tener en cuenta que ya anteriormente determinados investigadores de seguridad descubrieron que era posible ocultar malware a través de registros de errores falsos.

Usan los DNS de Google a través de HTTPS para bajar malware

Como decimos, en esta ocasión un grupo de investigadores de seguridad ha descubierto que los piratas informáticos pueden utilizar los DNS de Google a través de HTTPS para descargar malware. Respecto a lo que comentábamos de los registros de errores falsos, después de obtener acceso a un sistema Windows y lograr la persistencia, el malware leería un archivo «.chk» que suplantaba los registros de eventos.

Ahora un grupo de investigadores de seguridad, mientras revisaban la muestra de malware, los investigadores del proveedor de detección de amenazas de MSP Huntress Labs notaron una URL sospechosa en el código de PowerShell que habían analizado previamente. Ese dominio sospechoso, «jqueryupdatejs.com», llamó la atención de John Hammond, investigador principal de seguridad de Huntress Labs.

Esos DNS de Google se utilizan para resolver el dominio sospechoso, pero la respuesta devuelta a través del DNS de Google contiene la carga útil maliciosa en un formato codificado.

Según indica este investigador de seguridad, esta técnica de solicitar registros DNS a través de HTTPS no es nada nueva, pero es muy inteligente. Generalmente, el filtrado de DNS está implementado en una red corporativa para bloquear el acceso a sitios web que puedan ser maliciosos. Sin embargo bloqueando el tráfico web a https://google. com, a través de una conexión HTTPS segura es algo inaudito, según asegura.

También agrega que DNS sobre HTTPS o DoH se está volviendo cada vez más frecuente en cuanto a seguridad y privacidad. Agrega que no es una técnica específica del malware, pero sí se está volviendo una opción viable para los atacantes.

El uso de un servidor externo e incluso una entrada de DNS dinámica beneficia al pirata informático al permitirle una personalización y un control completos de su ataque. Si alguna vez necesita cambiar la carga útil maliciosa o ajustar los servidores utilizados para la clasificación, puede hacerlo sin depender de su acceso a la víctima.

DNS de Google como prueba ICMP

Un malware más inteligente y evasivo

Más allá de las técnicas para ocultarse que utiliza, el malware también es capaz de cambiar el nombre de algunos de sus ejecutables a procesos legítimos y activos en Windows. De esta forma logra evadir aún más la detección.

El investigador de seguridad indica que se trata de un malware más inteligente, con mayores capacidades en cuanto a su punto de vista ofensivo. Muchos antivirus podrían no detectar esta amenaza.

Ya sabemos que los ciberdelincuentes constantemente buscan la manera de perfeccionar sus ataques. De esta forma logran saltarse las medidas de seguridad y lograr sus objetivos. Por ello es vital que estemos siempre alerta. Os dejamos un artículo donde mencionamos cómo evitar el robo de datos en la red.