Το νέο κόλπο των χάκερς κρύβει malware στο DNS και το ενεργοποιεί με ΑΙ!

Το Domain Name System (DNS), ο μηχανισμός που μεταφράζει τα URL σε IP διευθύνσεις, θεωρείται ένα από τα πιο βασικά κομμάτια του διαδικτύου. Ωστόσο, όπως αποκαλύπτει νέα έρευνα της DomainTools, ακόμη και αυτό το φαινομενικά αθώο σύστημα μπορεί να μετατραπεί σε εργαλείο για απόκρυψη κακόβουλου λογισμικού και μάλιστα με τρόπους που εντοπίζονται δύσκολα.

Ερευνητές εντόπισαν δείγματα malware που είχαν “σπάσει” σε εκατοντάδες μικρά τμήματα και είχαν αποθηκευτεί σε ξεχωριστές υπο-διευθύνσεις DNS, μέσα σε TXT records, εγγραφές που συνήθως χρησιμοποιούνται για απλή επιβεβαίωση ιδιοκτησίας domain. Τα τμήματα είχαν μετατραπεί σε δεκαεξαδικούς χαρακτήρες, ώστε να παρακάμπτουν τα περισσότερα φίλτρα ασφαλείας.

Το πιο ανησυχητικό είναι ότι οι δράστες πιθανότατα αξιοποίησαν υπηρεσίες Τεχνητής Νοημοσύνης για να δημιουργήσουν ένα script που “συναρμολογεί” αυτόματα τα αποσπασμένα τμήματα και δημιουργεί ένα πλήρες εκτελέσιμο αρχείο.

Επιπλέον, η έρευνα εντόπισε ενδείξεις για PowerShell scripts που συνδέονται με τον Covenant, ένα νόμιμο framework που συχνά εκμεταλλεύονται κακόβουλοι χρήστες για επόμενες επιθέσεις. 

Ο Ian Campbell, μηχανικός της DomainTools, εξήγησε πάντως ότι η αυξανόμενη χρήση κρυπτογραφημένων DNS πρωτοκόλλων, όπως DNS over HTTPS (DoH) και DNS over TLS (DoT), δυσκολεύει ακόμα περισσότερο την ανίχνευση τέτοιων απειλών.