DNSMessenger, il nuovo malware senza file

Gli esperti di Talos, il gruppo sicurezza di Cisco, hanno scoperto l'esistenza di DNSMessenger, un sofisticato virus che ricade nella categoria dei malware. Sofisticato in quanto sfrutta gli standard di rete e le shell di nuova generazione per superare i controlli di sicurezza dei sistemi operativi. E tutto questo senza neppure intaccare il file system del disco di sistema (il classico disco C: per i più). DNSMessenger è stato definito dagli esperti un malware fileless, che in parole più semplici significa che non scrive file fisici sul disco ma agisce direttamente in memoria e sfrutta alcune caratteristiche molto avanzate dei server DNS (Domain Name System). L'infezione parte tramite un file di Word arrivato come allegato ad una mail, e la sua apertura manda in esecuzione una serie di automatismi scritti per il nuovissimo PowerShell di Microsoft, programma che vuole sostituire la vecchia interfaccia di MS-DOS, ancora presente nei pc di tutto il mondo. La nuova interfaccia di Microsoft mette a disposizione una gran numero di automatismi e strumenti avanzati che vengono per l'appunto sfruttati dal nuovo malware. Nello specifico DNSMessenger si assicura a priori di essere nell'ambiente adeguato per effettuare l'infezione, successivamente riesce a insidiarsi in modo permanente nel Sistema Operativo in modo che anche ad un riavvio si carichi in memoria, tutto questo tramite uno script di un flusso ADS (Alternate Data Stream), caratteristica dei file system NTFS, oppure modificando direttamente il Registro di Windows. Il malware è riassumibile in uno script multistrato, che crea un canale di comunicazione bidirezionale sfruttando i DNS, traffico che tipicamente non viene considerato pericoloso al contrario di altri servizi come HTTP, POP3, ecc., ed invia piccole query tramite le quali i cybercriminali possono agire da remoto, inviando comandi da eseguire sul sistema infetto e ricevere anche l'output generato dalle loro azioni senza essere individuati. Questo tipo di infezione dimostra le capacità sempre più avanzate di hacker criminali e cracker per lo spionaggio. Inoltre, avvertono gli esperti di Cisco, questa è un'ulteriore prova che tutto il traffico in rete è da considerarsi potenzialmente malevolo e va messo sotto osservazione di controlli in tempo reale.