Em uma nova tática que desafia sistemas de segurança tradicionais, hackers estão utilizando registros DNS para ocultar malware, explorando um ponto cego em muitas infraestruturas de cibersegurança. Essa abordagem permite que scripts maliciosos sejam distribuídos sem depender de sites suspeitos ou anexos de e-mail, alvos comuns de monitoramento por antivírus. Um caso recente, descoberto por pesquisadores da DomainTools, revelou o uso do malware Joke Screenmate, um software de brincadeira que interfere nas funções normais de computadores, escondido em registros TXT de DNS. A descoberta, publicada em 16 de julho de 2025, destaca a sofisticação crescente de ataques cibernéticos.
Segundo a pesquisa da DomainTools, publicada pela Ars Technica e Wired, os invasores convertem arquivos binários de malware, como o Joke Screenmate, em formato hexadecimal, um esquema de codificação que usa dígitos de 0 a 9 e letras de A a F para representar valores binários de forma compacta. Esse código hexadecimal é então fragmentado em centenas de partes, cada uma armazenada em um registro TXT de diferentes subdomínios, como os do domínio whitetreecollective[.]com. Registros TXT, normalmente usados para verificar a propriedade de um site ou configurar serviços como Google Workspace, podem armazenar textos arbitrários, tornando-os ideais para esconder esses fragmentos maliciosos. Um atacante que já tenha acesso a uma rede protegida pode, então, realizar consultas DNS aparentemente inofensivas para recuperar cada fragmento, remontá-los e convertê-los novamente em um arquivo binário funcional.
O caso do Joke Screenmate, identificado em julho de 2025, é particularmente preocupante porque demonstra como o DNS, considerado o “livro de endereços da internet”, pode ser transformado em um sistema de armazenamento de arquivos maliciosos. Conforme explicado por Dan Goodin, repórter da Ars Technica, em um artigo de 16 de julho de 2025, “o tráfego DNS é raramente analisado com o mesmo rigor que o tráfego web ou de e-mail, o que torna essa técnica eficaz para escapar de soluções de segurança tradicionais”. Além disso, a adoção de protocolos DNS criptografados, como DNS over HTTPS (DoH) e DNS over TLS (DoT), complica ainda mais a detecção, já que essas tecnologias ocultam os detalhes das consultas DNS de monitores de rede.
Os pesquisadores da DomainTools também identificaram um script PowerShell malicioso escondido em registros TXT, associado ao domínio drsmitty[.]com, que se conectava a um servidor de comando e controle (C2) do framework Covenant, uma ferramenta legítima frequentemente usada por hackers. Esse script, descoberto em 17 de julho de 2025, poderia facilitar o download de payloads adicionais, sugerindo que a técnica pode ser parte de cadeias de ataque mais complexas. A TechRadar, em um artigo de 17 de julho de 2025, destacou que “cada fragmento, por si só, é inofensivo, mas, quando reunido, forma um arquivo malicioso, como um quebra-cabeça digital espalhado por diferentes endereços”.
A técnica também foi vinculada a outros incidentes. Em maio de 2025, a Infoblox relatou que o grupo Hazy Hawk explorou vulnerabilidades em subdomínios de organizações como o Centro de Controle de Doenças (CDC) dos EUA para distribuir malware via registros DNS. Renée Burton, pesquisadora da Infoblox, afirmou em um relatório compartilhado com o The Hacker News que “os domínios vulneráveis, ligados a organizações respeitadas, não estão sendo usados para espionagem, mas para crimes cibernéticos comuns, como scams e distribuição de malware”. A análise sugere que o grupo opera desde pelo menos dezembro de 2023.
Embora o Joke Screenmate seja classificado como um malware de “brincadeira”, com comportamentos como mensagens de erro falsas e controle errático do cursor, os especialistas alertam que a técnica pode ser usada para distribuir malwares mais perigosos, como ransomwares. A falta de monitoramento rigoroso do tráfego DNS, combinada com a confiança inerente nesse protocolo, torna a ameaça significativa. Um relatório da Linux Foundation, publicado em março de 2025, recomenda que organizações implementem extensões de segurança DNS (DNSSEC) e monitorem ativamente o tráfego DNS para detectar atividades suspeitas.
Nota de transparência: As informações sobre a técnica de ocultação de malware em registros DNS foram verificadas em relatórios da DomainTools, Infoblox e artigos de fontes confiáveis como Ars Technica, Wired e TechRadar. As declarações de Dan Goodin e Renée Burton foram confirmadas em publicações oficiais. Dados sobre recomendações de segurança são baseados em análises da Linux Foundation, mas não refletem regulamentações oficiais.
O uso de DNS para ocultar malware é um alerta para a evolução das ameaças cibernéticas. Você já tomou medidas para proteger sua rede contra ataques DNS? Compartilhe suas experiências nos comentários e ajude a fortalecer a segurança digital!
Fontes: DomainTools, Ars Technica, Wired, TechRadar, Infoblox, Linux Foundation