Un nuovo malware chiamato Mozart utilizza il protocollo DNS per comunicare a distanza con gli aggressori e quindi essere in grado di eludere le soluzioni di sicurezza e i sistemi di intrusion detection.
Il malware Mozart viene comunemente usato per rubare informazioni dalle macchine in cui risiedono e trasferire segretamente queste informazioni ai server dei loro creatori. Il malware Mozart può anche raccogliere dettagli sulle informazioni bancarie online, i numeri della carta di credito, ecc. può persino registrare tutto ciò che si digita sulla tastiera.
L’uso della comunicazione HTTP / S per comunicare, tuttavia, ha i suoi svantaggi poiché i software di sicurezza monitorano normalmente questo traffico per rilevare eventuali attività dannose. Se rilevato, il software di sicurezza bloccherà la connessione e il malware che ha eseguito la richiesta HTTP / S.
Nella nuova backdoor di Mozart scoperta da MalwareHunterTeam , il malware utilizza il DNS per ricevere istruzioni dagli aggressori ed eludere il rilevamento.
Si ritiene che il malware sia distribuito tramite e-mail di phishing che contengono PDF che rimandano a un file ZIP che contiene un file JScript e che, una volta eseguito, estrae un eseguibile con codifica base64 che viene salvato sul computer come % Temp% \ calc.exe ed eseguito.
Secondo il capo del SentinelLabs Vitali Kremez che ha analizzato questa backdoor e condiviso le sue scoperte con BleepingComputer, il malware controllerà prima il file % Temp% \ mozart.txt. Se non esiste, creerà il file con il contenuto di “12345” ed eseguirà alcuni lavori di preparazione sul computer.
Ciò include la copia del file calc.exe dalla cartella % Temp% in un eseguibile denominato casuale nella cartella % AppData% \ Microsoft \ Windows \ Menu \ Programmi \ Avvio \ all’avvio ogni volta che la vittima accede a Windows.
È importante notare che il malware che utilizza DNS per comunicare non è univoco per la backdoor di Mozart.
Per bloccare Mozart, non basta suggerire di bloccare le richieste DNS a 93 [.] 188 [.] 155 [.] 2, perchè le nuove varianti potrebbero semplicemente passare a un nuovo server DNS fino a quando una delle due parti non smette.
Invece, è importante riconoscere i tentativi di phishing, verificare se i software di sicurezza e i sistemi di intrusione possono monitorare le query TXT DNS, dovresti e se sì, abilitarli.
