Las nuevas campañas de phishing convierten los marcadores de posición de nombres de dominio en herramientas para estafas

Los ataques de phishing están en todas partes, pero históricamente sus tácticas siguen patrones y tendencias claros. Una encuesta realizada por Infoblox Threat Intel revela una anomalía: un nuevo método utilizado por los ciberdelincuentes para atacar a las víctimas. Las campañas maliciosas utilizan un método sin precedentes, nunca antes reportado, para eludir los controles de seguridad. La estrategia consiste en explotar el espacio de nombres de dominio reservado a la propia infraestructura de Internet para distribuir phishing a través de spam. En este sentido, los delincuentes crean túneles IPv6 y luego utilizan registros DNS inversos para alojar sitios web fraudulentos.

A diferencia de los TLD más conocidos como .com y .net, destinados a alojar contenido web, .arpa realiza una función específica dentro del Sistema de nombres de dominio (DNS). Se utiliza principalmente para asociar direcciones IP a dominios, a través de registros DNS inversos, y no para alojar sitios web. Los piratas informáticos han aprovechado una laguna en los controles de gestión de registros ofrecidos por algunos proveedores de DNS. Esta funcionalidad le permite agregar registros de direcciones IP vinculados a dominios .arpa y desde allí alojar contenido malicioso detrás de esta estructura. 

Para escalar las campañas, los delincuentes todavía recurren a la obtención de túneles IPv6 gratuitos, que proporcionan un gran volumen de direcciones IP para utilizar en los ataques. Vale la pena recordar que los túneles IPv6 no fueron diseñados para este tipo de propósito. Existen para permitir la comunicación en Internet en entornos donde todavía predominan los equipos heredados basados en IPv4 y no para sostener operaciones de phishing. 

“Cuando vemos a atacantes explotando .arpa, están convirtiendo el núcleo mismo de Internet en un arma”, dijo la Dra. Renee Burton, vicepresidenta de Infoblox Threat Intel.“El espacio DNS inverso nunca fue diseñado para alojar contenido web, por lo que la mayoría de las defensas ni siquiera lo consideran una superficie de amenaza potencial. Al convertir .arpa en un mecanismo de entrega de phishing, estos agentes evitan efectivamente los controles tradicionales que dependen de la reputación del dominio o la estructura de URL. Los defensores deben comenzar a tratar su propia infraestructura DNS como un recurso valioso para los atacantes y deben tener cualquier tipo de visibilidad para identificar abusos y poder abordarlos.”

Los correos electrónicos de phishing observados en estas campañas se hacen pasar por grandes marcas y prometen “brindes” o premios. Los mensajes consisten en una única imagen que oculta un hipervínculo, dirigiendo a las víctimas a través de sistemas de distribución de tráfico (TDS) a sitios web fraudulentos. Mientras tanto, la URL visible nunca revela las extrañas cadenas DNS inversas basadas en .arpa que utilizan los atacantes.

Consulte el informe completo aquí: https://www.infoblox.com/blog/threat-intelligence/abusing-arpa-the-tld-that-isnt-suposed-to-host-anything/

Acerca de Infoblox Threat Intel 

Infoblox Threat Intel es el creador líder de inteligencia original sobre amenazas DNS, destacándose entre multitud de agregadores. ¿Qué nos diferencia? Dos cosas: habilidades DNS excepcionales y visibilidad incomparable. El DNS es notoriamente complejo de interpretar y analizar, pero nuestro profundo conocimiento y acceso único al funcionamiento interno de Internet nos permiten rastrear actores de amenazas que otros no pueden detectar. Somos proactivos, no solo defensivos, y utilizamos nuestros conocimientos para interrumpir el cibercrimen en su origen. También creemos en compartir conocimientos para apoyar a la comunidad de seguridad en general, publicando indicadores detallados y poniendo a disposición en GitHub, nuestra inteligencia también es nuestra solución integrada para Infox.