Malware de Linux usa DNS-over-HTTPS para comunicações encriptadas
Um grupo de hackers conhecido como “ChamelGang”, e com raízes na China, encontra-se a infetar sistemas baseados no Linux com um novo malware, que pode realizar comunicações usando o DNS-over-HTTPS.
O malware encontra-se a ser apelidado de “ChamelDoH”, exatamente por usar o sistema de DoH para realizar as comunicações com os sistemas de controlo dos atacantes. De acordo com a empresa Stairwell, o grupo começou as suas atividades em Setembro de 2021, embora focado para sistemas Windows.
No entanto, agora o mesmo parece encontrar-se a voltar também para sistemas Linux, com foco em roubar informações dos sistemas infetados. No entanto, o curioso do seu malware em Linux será o uso do DoH para comunicações.
Por norma, os pedidos DNS regulares não são encriptados, e usam ligações UDP diretas para os sistemas remotos. Isto permite que as queries realizadas possam ser capturadas por terceiros e monitorizadas.
Com o DoH, as queries são enviadas como tráfego HTTPS encriptado, e portanto, não é possível de ser monitorizado diretamente. Isso garante mais privacidade para os utilizadores, mas ao mesmo tempo pode ser usado também por malware para dificultar a identificação do mesmo e das suas atividades.
O ChamelDoH aproveita-se disso para realizar pedidos DNS-over-HTTPS para sistemas em controlo dos atacantes, de onde recebe e envia dados. Estes pedidos, além de encriptados, passam como sendo pedidos HTTPS regulares, e portanto, mais difíceis de serem identificados por soluções de segurança tradicionais.
Usando os pedidos DoH, os atacantes podem enviar para os sistemas infetados vários comandos, que poderão ser usados para tomar controlo dos sistemas ou roubar informações importantes.
Tendo em conta que os conteúdos são encriptados, torna-se consideravelmente difícil de identificar os mesmos, abrindo portas para ataques sem que os utilizadores tenham conhecimento de que os sistemas estão, efetivamente, infetados.