Des chercheurs de DomainTools ont révélé une méthode sophistiquée employée par des cybercriminels pour dissimuler et distribuer des logiciels malveillants via les enregistrements TXT du système DNS. Cette technique, bien qu’elle ait été identifiée sur au moins trois domaines entre 2021 et 2022, montre à quel point le DNS—qui sert de « annuaire téléphonique » numérique traduisant les noms de domaine en adresses IP—peut être détourné à des fins malveillantes.
Le processus consiste à fragmenter des fichiers, tels que des images ou des exécutables, en segments hexadécimaux. Ces fragments sont ensuite insérés dans plusieurs enregistrements TXT rattachés à des sous-domaines d’un domaine principal, par exemple *.felix.stf.whitetreecollective[.]com. En utilisant des scripts alimentés par intelligence artificielle, les chercheurs ont réussi à reconstruire ces fichiers, découvrant notamment deux exécutables malveillants portant des identifiants SHA256 spécifiques.
Ces fichiers correspondraient à un malware connu sous le nom de Joke Screenmate, un programme qui simule des comportements perturbateurs ou humoristiques, comme générer de faux messages d’erreur ou afficher des personnages animés, tout en ralentissant le système. Bien que leur apparence puisse sembler anodine, ces outils peuvent servir de distraction pour d’autres attaques plus sérieuses ou nuire à l’expérience utilisateur.
Au-delà des astuces humoristiques, une utilisation plus grave a été observée : l’insertion de scripts encodés, notamment des commandes PowerShell, destinés à se connecter à des serveurs de contrôle (C2). Dans un cas, un script apparaissant dans un enregistrement DNS se connectait à un serveur Covenant C2, un outil couramment utilisé pour gérer des infractions informatiques. Bien qu’un simple stockage dans le DNS ne suffise pas à déclencher une attaque, il peut constituer un vecteur discret pour l’exécution de commands malveillantes si la victime exécute le contenu.
Ce genre de technique soulève de sérieuses préoccupations : les enregistrements DNS peuvent rester actifs longtemps sans être détectés, leur nature légitime complique leur identification par les systèmes de sécurité, et l’ensemble de l’infrastructure peut servir à héberger des contenus malveillants sans recourir à des serveurs extérieurs évidents.
Face à cette réalité, les spécialistes doivent intensifier la surveillance des requêtes DNS, en analysant non seulement leur fréquence mais aussi leur contenu. Des outils comme DNSDB Scout se révèlent précieux pour détecter des motifs inhabituels, tels que des données codées en hexadécimal ou des requêtes répétées vers des sous-domaines suspects. La détection de comportements anormaux dans les enregistrements TXT doit devenir une composante intégrée des stratégies de sécurité.
En conclusion, entre 2021 et 2022, au moins un acteur malveillant a exploité le système DNS pour dissimuler et diffuser divers types de malware, exploitant la flexibilité des enregistrements TXT pour contourner les défenses traditionnelles. Ce phénomène illustre la nécessité d’un contrôle et d’une analyse approfondie de tous les services réseaux, car l’infrastructure Internet elle-même peut devenir une plateforme d’attaque silencieuse. Selon les experts, cette tendance pourrait n’être qu’un début, soulignant l’urgence d’adopter des approches plus vigilantes et innovantes pour sécuriser le cyberespace.
pour plus d’informations, consulter : dti.domaintools.com
