Attackers abuse Google DNS over HTTPS to download malware
jeudi 3 septembre 2020 à 09:05WOAO.
Un malware utilise le résolveur DNS chiffré de Google (DNS-over-HTTP) pour transférer une payload vers le client, planquée dans la signature DKIM de la réponse DNS.
Pas con du tout: Aucun admin réseau ne va s'amuser à filtrer le domaine google.com.
Et le botnet peut ainsi transférer des données customisées en fonction de l'IP du client, le tout en passant par le domaine de Google.
En l'occurrence, la payload contient des adresses IP de serveurs de contrôle (ce qui permet à l'attaquant de changer dynamiquement ses serveurs de contrôles).
(Permalink)
Un malware utilise le résolveur DNS chiffré de Google (DNS-over-HTTP) pour transférer une payload vers le client, planquée dans la signature DKIM de la réponse DNS.
Pas con du tout: Aucun admin réseau ne va s'amuser à filtrer le domaine google.com.
Et le botnet peut ainsi transférer des données customisées en fonction de l'IP du client, le tout en passant par le domaine de Google.
En l'occurrence, la payload contient des adresses IP de serveurs de contrôle (ce qui permet à l'attaquant de changer dynamiquement ses serveurs de contrôles).
(Permalink)