Nové phishingové kampaně mění zástupné symboly doménových jmen na nástroje pro podvody

Phishingové útoky jsou všude, ale historicky se jejich taktika řídí jasnými vzory a trendy Průzkum společnosti Infoblox Threat Intel odhaluje anomálii: novou metodu, kterou používají kyberzločinci k cílení na oběti Škodlivé kampaně využívají bezprecedentní, nikdy předtím nehlášenou metodu k obcházení bezpečnostních kontrol Strategie spočívá ve využívání prostoru pro doménová jména vyhrazeného pro samotnou internetovou infrastrukturu k distribuci phishingu prostřednictvím spamu V tomto smyslu zločinci vytvářejí tunely IPv6 a následně využívají reverzní záznamy DNS k hostování podvodných webových stránek.

Na rozdíl od známějších TLD, jako jsou .com a .net, zaměřené na hostování webového obsahu, .arpa plní specifickou funkci v rámci systému doménových jmen (DNS).Používá se hlavně k přiřazování IP adres k doménám, prostřednictvím reverzních záznamů DNS, a nikoli k hostování webových stránek Hackeři pokračovali ve využívání mezery v kontrolách správy záznamů nabízených některými poskytovateli DNS Tato funkce umožňuje přidat záznamy IP adres propojené s doménami .arpa a odtud hostovat škodlivý obsah za touto strukturou. 

Pro škálování kampaní se zločinci stále uchylují k získání bezplatných tunelů IPv6, které poskytují velký objem IP adres, které mají být použity při útocích Stojí za to připomenout, že tunely IPv6 nebyly navrženy pro tento typ účelu. Existují proto, aby umožňovaly komunikaci na internetu v prostředích, kde stále převládá starší zařízení založená na IPv4, a nikoli pro udržení phishingových operací. 

“2 Když vidíme útočníky, jak využívají .arpa, mění samotné jádro internetu na zbraň, řekla Dr. Renee Burton, viceprezidentka Infoblox Threat Intel. a Reverzní prostor DNS nebyl nikdy navržen tak, aby hostil webový obsah, takže většina obranných zařízení to ani nepovažuje za potenciální povrch hrozby. Přeměnou .arpy na doručovací mechanismus pro phishing tito agenti účinně obcházejí tradiční ovládací prvky, které spoléhají na pověst domény nebo strukturu URL. Obránci musí začít zacházet se svou vlastní infrastrukturou DNS jako s cenným zdrojem pro útočníky a musí mít jakoukoli viditelnost, aby mohli řešit zneužívání, aby je mohli řešit.”

Phishingové e-maily pozorované v těchto kampaních představují velké značky a slibují “obbrindes” nebo ceny. Zprávy se skládají z jediného obrázku, který skrývá hypertextový odkaz, který oběti přes systémy distribuce provozu (TDS) nasměruje na podvodné webové stránky. Mezitím viditelná adresa URL nikdy neodhalí podivné reverzní řetězce DNS založené na .arpa, které útočníci využívají.

Podívejte se na celou zprávu zde: https://www.infoblox.com/blog/threat-intelligence/abusing-arpa-the-tld-that-isnt-suposed-to-host-anything/

O společnosti Infoblox Threat Intel 

Infoblox Threat Intel je předním tvůrcem původní inteligence o hrozbách DNS, vyniká mezi množstvím agregátorů. Co nás odlišuje? Dvě věci: výjimečné dovednosti DNS a bezkonkurenční viditelnost. DNS je notoricky složitá na interpretaci a analýzu, ale naše hluboké znalosti a jedinečný přístup k vnitřnímu fungování internetu nám umožňují sledovat aktéry hrozeb, které ostatní nedokážou odhalit. Jsme proaktivní, nejen defenzivní, využíváme naše poznatky k narušení kybernetické kriminality u jejího zdroje. Věříme také ve sdílení znalostí na podporu bezpečnostní komunity jako celku, zveřejňování podrobných ukazatelů a zpřístupňování na GitHubu, naše inteligence je také našimi integrovanými řešeními Infoxu.