La furbizia dei criminali informatici ha raggiunto un nuovo livello, sfruttando una componente tanto fondamentale quanto invisibile di Internet: il Sistema dei Nomi di Dominio (DNS). Quello che per decenni è stato considerato semplicemente il "traduttore" che converte gli indirizzi web in codici numerici comprensibili ai computer, si è trasformato in un veicolo per la distribuzione di software malevolo. La scoperta di DomainTools rivela come i cybercriminali stiano trasformando i record DNS in veri e propri depositi di malware, sfruttando una vulnerabilità concettuale che nessuno aveva mai immaginato potesse esistere.
La trasformazione di un servizio essenziale in arma digitale
Per comprendere la portata di questa minaccia, occorre ricordare il ruolo centrale che il DNS riveste nell'ecosistema digitale. Quando digitate un sito nella barra degli indirizzi, non state semplicemente inserendo un nome: state attivando una complessa catena di interrogazioni che attraversa diversi server DNS fino a identificare l'indirizzo IP numerico corrispondente al sito desiderato. Senza questo sistema, saremmo costretti a memorizzare sequenze numeriche come 192.168.1.1 per ogni sito web che vogliamo visitare.
Il problema nasce dalla natura stessa del protocollo IPv4, progettato in un'epoca in cui nessuno poteva immaginare miliardi di dispositivi connessi simultaneamente. Il suo successore, IPv6, pur risolvendo teoricamente il problema della scarsità di indirizzi, non ha ancora raggiunto una diffusione adeguata, rendendo il DNS ancora più critico per il funzionamento quotidiano della rete.
L'evoluzione dell'abuso: dai file system alle immagini nascoste
La manipolazione dei record DNS per scopi non convenzionali non è un fenomeno completamente nuovo. Il ricercatore Ben Cartwright-Cox aveva già dimostrato come fosse possibile costruire un file system utilizzando l'infrastruttura DNS, aprendo la strada a utilizzi creativi di questo protocollo. Tuttavia, la situazione ha preso una piega preoccupante quando, nel giugno scorso, Cyber Security News ha documentato casi di hacker che nascondevano immagini all'interno dei record DNS.
Questa escalation ha spinto DomainTools a condurre un'indagine approfondita, cercando specificatamente i cosiddetti "magic file bytes" all'interno dei record DNS RDATA TXT. Questi byte magici rappresentano una sorta di firma digitale che ogni file porta con sé, permettendo ai programmi di identificare il tipo di contenuto indipendentemente dall'estensione del nome file.
La scoperta del malware Joke/ScreenMate
L'investigazione di DomainTools ha portato alla luce un caso concreto di abuso sistematico del DNS per la distribuzione di malware. Tra il 2021 e il 2022, un attore malevolo ha utilizzato i record DNS TXT per memorizzare e verosimilmente distribuire il malware Joke/ScreenMate e componenti preparatori per infezioni legate al framework Covenant C2.
Questo particolare tipo di malware, classificato come "software scherzoso", può causare danni significativi ai sistemi infetti. Le sue capacità spaziano dal provocare rallentamenti delle prestazioni del sistema alla visualizzazione continua di battute, immagini o animazioni difficili da interrompere. Nei casi più gravi, può mostrare falsi messaggi di errore, avvertimenti virali fittizi o animazioni che simulano la cancellazione di file di sistema, creando panico e confusione negli utenti.
Le implicazioni per la sicurezza informatica
La capacità di nascondere contenuti eseguibili all'interno dei record DNS rappresenta una sfida completamente nuova per i sistemi di sicurezza tradizionali. La maggior parte delle soluzioni di protezione si concentra sul monitoraggio del traffico web standard, dei download di file e delle comunicazioni email, ma raramente analizza in profondità i record DNS alla ricerca di contenuti malevoli.
Questa tecnica offre agli aggressori diversi vantaggi strategici. I record DNS hanno una legittimità intrinseca che li rende meno sospetti rispetto ad altri vettori di attacco. Inoltre, la natura distribuita del sistema DNS significa che il contenuto malevolo può essere replicato automaticamente attraverso migliaia di server in tutto il mondo, rendendo estremamente difficile la rimozione completa della minaccia.
Il futuro delle minacce basate su DNS
La facilità con cui i ricercatori hanno dimostrato la possibilità di nascondere informazioni non testuali all'interno dei record DNS solleva interrogativi importanti sul futuro della sicurezza informatica. Se tecniche così sofisticate possono essere implementate con relativa semplicità, è ragionevole aspettarsi che altri gruppi di cybercriminali adottino strategie simili o ancora più avanzate.
L'industria della sicurezza informatica dovrà necessariamente adattare i propri strumenti di rilevamento per includere l'analisi approfondita dei record DNS. Questo richiederà non solo aggiornamenti tecnologici significativi, ma anche una revisione delle politiche di sicurezza e delle procedure di monitoraggio in molte organizzazioni.
La scoperta di DomainTools dimostra ancora una volta come la creatività dei criminali informatici non conosca limiti, trasformando anche i componenti più basilari dell'infrastruttura Internet in potenziali armi digitali. In un mondo sempre più interconnesso, la vigilanza e l'innovazione nella sicurezza informatica devono evolversi costantemente per stare al passo con le minacce emergenti.