En un escenario donde las amenazas evolucionan más rápido que las defensas tradicionales, la detección temprana de malware se está convirtiendo en una verdadera ventaja competitiva. Así lo ha demostrado un nuevo infostealer que ha logrado eludir por completo los antivirus, las soluciones de protección endpoint e incluso los sistemas IDS e IPS más avanzados. Su descubrimiento, sin embargo, ha sido posible gracias al análisis de tráfico DNS, que permitió identificar y bloquear una amenaza que hasta ese momento no había sido registrada en ninguna fuente de inteligencia de amenazas conocida.
Este caso real pone en evidencia cómo los atacantes están evolucionando hacia técnicas más sofisticadas, donde el malware no deja rastro en disco, se comunica con su servidor de comando y control mediante canales cifrados y se propaga utilizando exclusivamente el DNS como infraestructura.
¿Cómo se detectó?
La alerta se activó al detectar un volumen anómalo de consultas DNS TXT hacia un dominio sin registros A ni AAAA. Este patrón inusual sugería que el dominio no servía contenidos tradicionales, sino que operaba exclusivamente a través de DNS, lo que ya representaba un indicador de abuso.
Tras analizar las respuestas DNS, se descubrieron fragmentos de datos codificados en base64 que, una vez ensamblados, revelaron un script PowerShell ofuscado. Dicho script actuaba como stager para descargar y ejecutar en memoria el payload principal del malware, evitando cualquier tipo de escritura en disco y, por tanto, evadiendo las soluciones de detección habituales.
Un malware diseñado para robar criptodatos
El análisis del payload principal, una secuencia de aproximadamente 1000 líneas de PowerShell, confirmó sus capacidades avanzadas de persistencia, evasión y exfiltración de información. Entre sus objetivos figuraban los monederos de criptomonedas y servicios como Binance, MetaMask o LedgerLive. Monitorizaba las ventanas activas, el portapapeles y los metadatos del sistema para robar información crítica, y establecía comunicaciones cifradas con un servidor remoto para extraer los datos sin dejar huella.
Además, incluía rutinas para autoeliminarse, comprobar el estado de los antivirus locales y descargar dinámicamente nuevos módulos maliciosos.
Por qué el DNS importa más que nunca
Este caso ilustra cómo el DNS, tradicionalmente considerado un componente neutro de la red, se ha convertido tanto en un vector de ataque como en una fuente privilegiada de visibilidad para detectar amenazas avanzadas.
La clave estuvo en observar el comportamiento del tráfico DNS, no sólo el contenido. La ausencia de registros típicos, el uso masivo de consultas TXT y la estructura de los datos transmitidos permitieron anticiparse a una amenaza desconocida —un zero-day— que de otro modo habría permanecido activa sin ser detectada.
Un mensaje claro para los responsables de seguridad
Este tipo de ataques obliga a replantear la arquitectura defensiva de las organizaciones. No basta con proteger el endpoint, el correo o el perímetro. La visibilidad y control del DNS se han vuelto imprescindibles para detectar y contener amenazas que ya han demostrado su capacidad de escapar a las defensas tradicionales.
Incorporar esta capa de análisis en una estrategia de ciberseguridad basada en el modelo Zero Trust no es solo recomendable, sino necesario para ganar ventaja frente a un entorno de amenazas en constante evolución.
Diego Solís, Sales Director Iberia & LATAM de EfficientIP
