Este nuevo malware utiliza el DNS para comunicarse con atacantes remotos, de esta forma evade todo software de seguridad.
Como sabe un malware utiliza los protocolos HTTP / S para comunicarse por comando mas la ejecución es detectada una ves comienza el la comunicación por los software de seguridad lo que no le permitirá el progreso al mismo si se vasa en este patrón.
¿Y que alarma tenemos? Pues este malware usa DNS para recibir instrucciones de los atacantes y evadir la detección en el patrón común. Descubierta por MalwareHunterTeam.
Los DNS adicional a convertir los nombres de host a la dirección IP, el protocolo también le permite consultar registros TXT que contienen datos.
Esta característica se usa comúnmente para la verificación de la propiedad del dominio para servicios en línea y políticas de seguridad de correo electrónico como Sender Policy Framework o DMARC .
Los atacantes de Mozart están utilizando estos registros TXT de DNS para almacenar comandos recuperados por el malware y ejecutados en la computadora infectada.
¿Como se distribuye? El malware Mozart se distribuye a través de correos electrónicos de phishing que contienen archivos PDF que enlazan con un archivo ZIP.
Estas consultas se realizan utilizando la función InetPtonW de la API de Windows. Se han obtenido hasta siete comandos diferentes que la máquina infectada utilizaba para comunicarse con el C&C y obtener nuevas órdenes o actualizaciones:
· .getid
· .gettasks
· .gettasksize
· .gettask
· .reporttask
· .reportupdates
· .getupdates
¿Que hacer para evitarlo o minimizar el riesgo? Como regularmente les indicamos la mejor medida de seguridad para protegernos del malware Mozart es el sentido común.
Es vital no abrir o descargar archivos adjuntos sospechosos que nos lleguen por correo electrónico. Esto no solo nos protegerá de una amenaza como es Mozart, sino también de muchas mas.
Les recomendamos mantener herramientas de seguridad actualizadas. De esta forma podremos prevenir la entrada de malware que pueda poner en riesgo nuestros sistemas. Será esencial tener un buen antivirus y esto es algo que debemos aplicar sin importar el tipo de dispositivo o sistema operativo que estemos utilizando.
Estamos para servirles.
Comments