DNSMessenger
O DNSMessenger é um RAT ou Trojan/ferramenta de acesso remoto que foi observado em ataques recentemente em abril de 2019. O DNSMessenger não possui tantos recursos e recursos quanto outros RATs conhecidos que são usados para atacar usuários de computador atualmente. No entanto, a principal vantagem que o DNSMessenger tem sobre os outros RATs é o fato deles serem especialmente furtivos. O DNSMessenger opera usando o PowerShell totalmente. Isso torna quase impossível detectar o DNSMessenger, já que quase não deixa rastros de sua presença em um computador.
Índice
As Campanhas de Distribuição do DNSMessenger Trojan
Os pesquisadores de segurança do PC receberam pela primeira vez relatos de ataques do DNSMessenger em 2017. Desde então, o DNSMessenger Trojan foi observado em uma variedade de ataques em todo o mundo. O DNSMessenger pode ser entregue em um computador de várias maneiras diferentes. No entanto, a maioria dos ataques envolvendo o DNSMessenger usou um método muito comum de enviar mensagens de e-mail de phishing com anexos de arquivos corrompidos. Esses anexos de arquivos geralmente assumem a forma de arquivos do Microsoft Office com scripts de macros incorporados que baixam e instalam o DNSMessenger no computador da vítima. Este é um método comum usado para entregar malware que é eficaz devido à sua combinação de técnicas de engenharia social com a exploração de vulnerabilidades conhecidas.
Como os Criminosos Responsáveis pelos Ataques do DNSMessenger Distribuíram essa Ameaça
Ataques recentes do DNSMessenger variam um pouco essa abordagem. Os criminosos responsáveis por esses ataques DNSMessenger foram capazes de comprometer vários sites do governo dos Estados Unidos para hospedar scripts corrompidos usados para entregar o DNSMessenger. Em vez disso, o DNSMessenger é entregue em mensagens de e-mail de spam com links incorporados que levam a esses sites comprometidos, onde o DNSMessenger é instalado no computador da vítima, e não por anexos de e-mail corrompidos com scripts de macros embutidos. Os e-mails usados para entregar o DeNSMessenger são bastante eficazes, apresentando-se como mensagens da Securities Exchange Commission (SEC) e usando conteúdo criado para enganar os usuários de computador e fazê-los acreditar que o e-mail e o link incorporado são legítimos. O fato de o documento corrompido estar hospedado em um governo dos Estados Unidos torna mais provável que as vítimas do ataque permitam que o DNSMessenger seja instalado em seus computadores clicando no link inseguro.
Como o DNSMessenger Infecta um Computador
Depois que o DNSMessenger é entregue no computador da vítima, ele primeiro verifica o dispositivo da vítima e determina qual versão do PowerShell é usada nele. O DNSMessenger também verificará os privilégios e várias configurações do sistema, influenciando como o DNSMessenger é instalado e o tipo de ataque que essa ameaça executa no computador infectado. O DNSMessenger ganha persistência no dispositivo infectado, permitindo que o DNSMessenger seja iniciado exatamente trinta minutos depois que o Windows for inicializado automaticamente. Depois que a vítima efetua login no Windows e o DNSMessenger é ativado, ela cria uma conexão com seus servidores de Comando e Controle e recebe instruções de seus controladores. Os invasores podem usar o DNSMessenger para executar qualquer comando do PowerShell no dispositivo de destino, o que essencialmente dá aos criminosos total controle sobre o dispositivo infectado. Usando o DNSMessenger, os criminosos podem executar comandos, coletar dados ou instalar novos dados no computador infectado.
Protegendo o Seu Dispositivo contra Ameaças como o DNSMessenger
A melhor maneira de impedir ataques do DNSMessenger é tomar precauções ao manipular mensagens de email não solicitadas, especialmente se elas contiverem links incorporados ou anexos de arquivos. Além de ser cuidadoso ao lidar com e-mail, os usuários de computador que usam um programa de segurança forte e totalmente atualizado podem fazer um grande negócio para proteger seus dispositivos. Varreduras regulares e monitoramento das atividades da rede e do desempenho do sistema podem ajudar os usuários de computador a detectar a presença de ameaças como o DNSMessenger, que são projetadas para operar em segundo plano sem alertar a vítima de sua presença.
