DnsMessenger è il nuovo agente patogeno che sfrutta gli standard di rete e le shell di nuova generazione per aggirare i controlli di sicurezza delle infrastrutture informatiche senza operare sul file system del disco di sistema.
Individuato dagli esperti di Talos, società dell’ecosistema Cisco, DnsMessenger è un malware fileless: non scrive mai file fisici sul disco ma agisce in memoria, ed è progettato per abusare di alcune delle caratteristiche meno note dei server del Domain Name System.
Il tutto a partire da un file di Word ricevuto come allegato e-mail; una volta aperto il documento, il malware manda in esecuzione una serie di script scritti per PowerShell.
Più nel dettaglio, lo script malevolo si assicura la permanenza al riavvio del sistema salvando un altro script in un flusso ADS (Alternate Data Stream) del file system NTFS o direttamente nel Registro di Windows.
Lo script principale del malware si occupa invece di istituire un canale di comunicazione bidirezionale attraverso il sistema DNS, un tipo di traffico che non viene generalmente classificato come potenzialmente pericoloso ma che permette di inviare piccole query in standard testuale, attraverso cui i cybercriminali possono agire da remoto.
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.