Los analistas de amenazas han descubierto una nueva amenaza de seguridad que utiliza un método de comunicación basado en DNS poco común en un ataque dirigido a una universidad de Taiwán. La puerta trasera, denominada Backdoor.Msupedge e identificada por Symantec, se comunica con un servidor de comando y control (C2) mediante el tráfico DNS, una técnica conocida pero poco utilizada por los cibercriminales. Msupedge funciona como una biblioteca de vínculos dinámicos (DLL) y se ha encontrado instalada en rutas de archivos específicas dentro de los sistemas comprometidos. La DLL puede ejecutar comandos recibidos a través de consultas DNS; un método que no solo le ayuda a evadir la detección, sino que también facilita el control sigiloso sobre las máquinas infectadas. Una de las características más distintivas de Msupedge es su capacidad de modificar su comportamiento en función de la dirección IP resuelta de la consulta DNS. En concreto, el tercer octeto de la dirección IP resuelta se utiliza como un interruptor para determinar el comando que se ejecutará, que puede ir desde la creación de procesos hasta la descarga de archivos o hacer que el sistema entre en suspensión durante un período de tiempo determinado. Symantec explicó que este nuevo backdoor admite varios comandos, entre ellos: Crear un proceso a través de registros TXT de DNS Descargar archivos de URL recibidas a través de DNS Inducir modos de suspensión en la máquina infectada durante hasta 24 horas Eliminar archivos temporales Se cree que la intrusión inicial se produjo mediante la explotación de una vulnerabilidad reciente de PHP (CVE-2024-4577), que afecta a todas las versiones de PHP instaladas en Windows. Esta falla, una vulnerabilidad de inyección de argumentos CGI, puede provocar la ejecución remota de código, lo que la convierte en una preocupación grave para los administradores que gestionan servidores web basados ​​en Windows. Lea más sobre CVE-2024-4577: el ransomware aumenta anualmente a pesar de las medidas de control de las fuerzas del orden «Symantec ha visto a varios actores de amenazas escanear sistemas vulnerables en las últimas semanas. Hasta la fecha, no hemos encontrado evidencia que nos permita atribuir esta amenaza y el motivo detrás del ataque sigue siendo desconocido», escribió la compañía. Para protegerse contra esta amenaza, la firma de seguridad ha incluido una lista de indicadores de compromiso (IOC) en su último aviso sobre Msupedge.