Onderzoekers vinden malware verborgen in DNS records
Cyberbeveiligingsexperts hebben een ongebruikelijke methode van malwareverspreiding ontdekt waarbij kwaadaardige bestanden worden verstopt in DNS-records. Door uitvoerbare bestanden in kleine stukjes te knippen en op te slaan in DNS TXT-records, kunnen aanvallers malware verspreiden zonder direct verdachte webverkeer te genereren.
De methode werkt door bestanden te fragmenteren en de stukjes op te slaan als hexadecimale code in de DNS TXT-records van een domein. Een programma op de computer van het slachtoffer kan deze fragmenten vervolgens ophalen via DNS-verzoeken en het bestand weer in elkaar zetten.
Onderzoekers vonden DNS-records uit 2021 en 2022 die met deze methode waren opgezet. Eén specifiek domein, *.felix.stf.whitetreecollective[.]com, bleek een uitvoerbaar bestand te fragmenteren over honderden subdomeinen. Na reconstructie van de bestanden werden deze geïdentificeerd als 'Joke Screenmate'-malware. Dit is prank-software die onschuldige gebruikers kan misleiden door bijvoorbeeld valse foutmeldingen te tonen, de muiscursor te ontwijken of ongevraagde animaties te laten zien.
Een nader onderzoek van andere DNS TXT-records onthulde dat de techniek ook werd gebruikt om kwaadaardige commando's te verbergen. Op het domein drsmitty[.]com vonden de onderzoekers een gecodeerd PowerShell-script. Dit script fungeert als een 'stager' die verbinding maakt met een Command & Control-server om een meer geavanceerde payload te downloaden.
Volgens de onderzoekers werd de methode in de periode 2021-2022 gebruikt om zowel prank-malware als stagers voor meer serieuze malware-infecties te verbergen en te verspreiden. Voor de uitvoering van de malware is wel een voorafgaande actie nodig op het systeem van het slachtoffer.
