Атакующие используют DNS поверх HTTPS от Google для загрузки вредоносов

Исследователи Huntress Labs проанализировали интересный образец вредоносной программы, которая пряталась в фейковых логах ошибок Windows. В результате специалистам удалось выявить ещё одну интересную особенность зловреда.

Команда Huntress Labs обнаружила подозрительный URL, который был зашит в PowerShell-код:

https://dns.google.com/resolve?name=dmarc.jqueryupdatejs.com&type=txt

Домен jqueryupdatejs.com сразу же привлёк внимание исследователей. Стало понятно, что DNS от Google используется для перевода имени домена в адрес, а возвращаемый Google DNS ответ содержал зашифрованную вредоносную нагрузку.

«Запрос записей DNS поверх HTTPS не представляет собой ничего нового, но это очень продуманная техника. Часто фильтрация DNS используется в корпоративной сети для блокировки доступа к вредоносным сайтам. Но ведь никто не будет блокировать трафик к https://google.com по защищённому HTTPS-соединению», — объясняет Джон Хэммонд, один из исследователей Huntress Labs.

При этом эксперт подчеркнул, что «DNS поверх HTTPS» сейчас часть обсуждается в контексте безопасности и конфиденциальности. И у этого протокола есть полезные свойства.