Dns

Recentemente, pesquisadores da Microsoft identificaram uma nova variante dos ataques ClickFix, que agora utilizam consultas DNS como um canal para entregar malware. Esses ataques enganam os usuários a executar comandos maliciosos, disfarçados como soluções para erros ou atualizações de sistema. Nesta nova abordagem, os atacantes controlam um servidor DNS que fornece um script PowerShell malicioso durante a execução do comando nslookup. Ao invés de consultar o servidor DNS padrão do sistema, os usuários são instruídos a consultar um servidor DNS controlado pelo atacante, que retorna um payload malicioso. O script, uma vez executado, baixa um arquivo ZIP contendo um executável Python e scripts maliciosos que realizam reconhecimento no dispositivo infectado e estabelecem persistência no sistema. Essa técnica inovadora permite que os atacantes modifiquem os payloads em tempo real, camuflando suas atividades no tráfego DNS normal. Os ataques ClickFix têm evoluído rapidamente, com novas táticas e tipos de payloads sendo utilizados, incluindo a exploração de aplicativos como o Azure CLI para comprometer contas Microsoft sem senha. Essa evolução representa um risco significativo para a segurança cibernética, exigindo atenção redobrada das organizações.

A Microsoft revelou uma nova versão da tática de engenharia social chamada ClickFix, onde atacantes induzem usuários a executar comandos que realizam consultas DNS para obter um payload malicioso. O ataque utiliza o comando ’nslookup’ através do diálogo de execução do Windows, permitindo que os criminosos contornem controles de segurança. O ClickFix é frequentemente disseminado por meio de phishing, malvertising ou downloads automáticos, redirecionando as vítimas para páginas falsas que simulam verificações de CAPTCHA ou instruções para resolver problemas inexistentes. Essa técnica tem se tornado comum nos últimos dois anos, levando os usuários a infectarem suas próprias máquinas. A nova variante usa DNS como um canal leve de sinalização, reduzindo a dependência de requisições web tradicionais e misturando atividades maliciosas ao tráfego normal da rede. O payload baixado inicia uma cadeia de ataque que resulta na execução de um trojan de acesso remoto, ModeloRAT. Além disso, a Bitdefender reportou um aumento na atividade do Lumma Stealer, impulsionado por campanhas de ClickFix que utilizam verificações de CAPTCHA falsas. O artigo destaca a resiliência das operações de Lumma Stealer, que continuam a evoluir apesar de esforços de interrupção por parte das autoridades.

Uma falha crítica de segurança nos resolvers BIND 9 foi divulgada, permitindo que atacantes envenenem caches DNS e redirecionem o tráfego da internet para destinos maliciosos. A vulnerabilidade, identificada como CVE-2025-40778, afeta mais de 706 mil instâncias expostas em todo o mundo, conforme a empresa de escaneamento de internet Censys. Com uma pontuação CVSS de 8.6, a falha resulta do tratamento excessivamente permissivo de registros de recursos não solicitados nas respostas DNS. Isso permite que atacantes injetem dados falsificados sem precisar de acesso direto à rede. O Internet Systems Consortium (ISC), responsável pelo software BIND, recomendou que os administradores apliquem patches imediatamente, uma vez que a vulnerabilidade pode impactar significativamente empresas, provedores de internet e agências governamentais que dependem de resolvers recursivos. Embora não haja relatos de exploração ativa, a liberação pública de um exploit de prova de conceito no GitHub aumenta a urgência, fornecendo um modelo para ataques direcionados. O ISC sugere que organizações que não podem atualizar imediatamente restrinjam a recursão a clientes confiáveis e monitorem o conteúdo do cache em busca de anomalias.

A Amazon Web Services (AWS) identificou a causa de uma grande interrupção que afetou milhões de clientes e suas operações em 19 e 20 de outubro de 2025. O problema foi causado por uma falha na resolução de DNS que afetou os pontos de serviço regionais do DynamoDB, um dos serviços de banco de dados de alto desempenho da Amazon. A interrupção começou às 23h49 PDT e durou cerca de duas horas e trinta e cinco minutos, resultando em um efeito dominó que afetou não apenas o DynamoDB, mas também a própria Amazon.com e diversos serviços subsidiários. A equipe da AWS agiu rapidamente, identificando o problema às 00h26 PDT e resolvendo a questão de DNS às 02h24 PDT. No entanto, a recuperação total levou cerca de quinze horas, com a normalização das operações ocorrendo apenas às 15h01 PDT do dia 20. Para evitar uma degradação adicional, a AWS adotou uma abordagem estratégica de controle, limitando deliberadamente o lançamento de novas instâncias do EC2, o que ajudou a estabilizar o sistema. A empresa publicou um resumo detalhado do evento, explicando as ações tomadas e as mudanças preventivas que serão implementadas para evitar incidentes semelhantes no futuro.

Na madrugada de 20 de outubro de 2025, a Amazon Web Services (AWS) sofreu uma queda massiva que afetou a infraestrutura digital global. O problema começou por volta de 12h11 PDT, com falhas no serviço de banco de dados DynamoDB, que rapidamente se espalharam para outros serviços essenciais como EC2 e S3. Isso resultou em interrupções em plataformas populares como Snapchat, Amazon Prime Video e Canva, deixando milhões de usuários sem acesso a seus aplicativos e serviços. A AWS, que detém cerca de um terço do mercado global de nuvem, enfrentou críticas sobre a fragilidade da centralização de sua infraestrutura. Embora a empresa tenha declarado que o problema foi resolvido ao meio-dia, o impacto da queda ainda era sentido, com usuários relatando lentidão em serviços e gerando discussões sobre a necessidade de diversificação entre provedores de nuvem. A falha foi atribuída a um problema de resolução de DNS, que cortou a conexão entre os clientes e os gateways da AWS, evidenciando a vulnerabilidade de depender de um único provedor para operações críticas. O incidente levantou preocupações sobre a segurança e a resiliência das infraestruturas digitais, especialmente em setores críticos como saúde e finanças.

Pesquisadores da Infoblox revelaram uma campanha de malware chamada DetourDog, que comprometeu mais de 30.000 sites sem que os usuários percebessem. O ataque se aproveitou de servidores desprotegidos, utilizando um malware que redireciona visitantes para sites maliciosos. As requisições de DNS são feitas pelo próprio site comprometido, tornando o ataque invisível para as vítimas. Os usuários são redirecionados para sites que hospedam um infostealer conhecido como Strela Stealer, que rouba credenciais de diversas fontes, incluindo e-mails. O Strela Stealer, que evoluiu desde sua primeira identificação em 2022, se comunica com servidores de comando e controle para coletar dados e receber atualizações. Embora a Infoblox não tenha atribuído o ataque a um grupo específico, a origem pode estar relacionada a países do leste europeu, dado o significado da palavra ‘Strela’. As organizações são aconselhadas a auditar suas configurações de DNS e monitorar tráfego incomum para se protegerem contra esse tipo de ameaça.

O grupo de ameaças conhecido como Detour Dog foi identificado como responsável pela distribuição de um malware chamado Strela Stealer, que atua como um ladrão de informações. A análise da Infoblox revelou que Detour Dog controla domínios que hospedam a primeira fase do malware, um backdoor chamado StarFish. Desde agosto de 2023, a Infoblox vem monitorando as atividades do grupo, que inicialmente se concentrava em redirecionar tráfego de sites WordPress para páginas maliciosas. O malware evoluiu para executar conteúdo remoto através de um sistema de comando e controle baseado em DNS.

A campanha ‘Detour Dog’, um ator de ameaças ativo desde fevereiro de 2020, lançou uma nova estratégia inovadora para distribuir o malware Strela Stealer. Utilizando consultas de registros DNS TXT, a campanha consegue redirecionar visitantes de sites comprometidos e entregar malware em múltiplas etapas, afetando dezenas de milhares de sites ao redor do mundo. Essa abordagem permite que o Detour Dog evite a detecção e mantenha controle sobre a infraestrutura infectada.

Uma vulnerabilidade crítica no plugin etcd do CoreDNS foi revelada, permitindo que atacantes com acesso de escrita a daemons etcd fixem entradas de cache DNS indefinidamente, interrompendo atualizações de serviço. A falha, identificada como GHSA-93mf-426m-g6x9, resulta de um uso inadequado de identificadores de lease do etcd como valores de tempo de vida (TTL), levando a durações de cache extremas que podem durar anos. Usuários do CoreDNS versão 1.2.0 e superiores devem atualizar para a versão 1.12.4 imediatamente para mitigar esse problema de alta severidade. O erro ocorre na função TTL() do arquivo plugin/etcd/etcd.go, onde um ID de lease de 64 bits é tratado como um inteiro sem sinal de 32 bits, resultando em valores de TTL extremamente altos. Isso faz com que resolvers e clientes armazenem respostas DNS por períodos muito além do esperado, ignorando mudanças legítimas de serviço. Para explorar a vulnerabilidade, um atacante precisa apenas de privilégios de escrita no etcd, que podem ser obtidos por meio de contas de serviço comprometidas ou configurações inadequadas. A atualização do CoreDNS corrige o cálculo do TTL e introduz limites configuráveis para evitar durações de cache excessivas. É recomendado que operadores de instâncias vulneráveis apliquem o patch imediatamente e revisem os controles de acesso do etcd.