Un nuovo malware in grado di trasmettere e ricevere dati ed ordini da remoto imperversa nella rete. Il codice malevolo si avvale di una tecnica già vista in passato; una tecnica ritornata alla ribalta grazie a DNSMessenger.
A svelarne l’esistenza sono stati gli esperti della Cisco. Il malware è altamente sofisticato ed è in grado di bypassare i controlli di sicurezza sfruttando le Shell Microsoft di nuova generazione senza la necessità di modificare il file system del disco di sistema.
DNSMessenger è di tipo fileless. In altre parole è un malware che non necessita di scrivere file fisici sul disco, ma utilizza la memoria del dispositivo infettato e fa uso di alcune caratteristiche dei server del Domain Name System.
La tecnica utilizzata per divulgare il malware è sempre la stessa. Viene inviato tramite e-mail un file Word alla potenziale vittima. Una volta aperto il file, il malware esegue diversi script PowerShell.
Il malware sfrutta gli strumenti di amministrazione ed automazione messi a disposizione dalla Shell Microsoft di ultima generazione. Una volta operativo, il malware, tramite il sistema DNS, istituisce un canale di comunicazione bidirezionale in grado di inviare query che consentono azioni, da remoto, sul dispositivo infettato.
Le peculiarità di questo malware sta nella sua architettura e nella impossibilità, nella maggior parte dei casi, di essere rilevato dai sistemi di sicurezza e di controllo software ed hardware.
I cyber criminali sono costantemente all’opera e gli strumenti utilizzati sembrano essere sempre un passo avanti agli attuali sistemi di sicurezza. Il consiglio? Non abbassare mai la guardia. Nel caso specifico controllare sempre la fonte dei file ricevuti ed accertarsi che i documenti siano stati inviati volontariamente da utenti conosciuti.
