Nove phishing kampanje pretvaraju rezervirana mjesta imena domena u alate za prijevare

Phishing napadi su posvuda, ali povijesno gledano, njihove taktike slijede jasne obrasce i trendove.Anketa Infoblox Threat Intel otkriva anomaliju: nova metoda koju koriste kibernetički kriminalci za ciljanje žrtava.Zlonamjerne kampanje koriste dosad neviđenu, nikad prije prijavljenu metodu za zaobilaženje sigurnosnih kontrola.Strategija se sastoji od iskorištavanja prostora naziva domene rezerviranog za samu internetsku infrastrukturu za distribuciju phishinga putem neželjene pošte.U tom smislu, kriminalci stvaraju IPv6 tunele i zatim koriste obrnute DNS zapise za hostiranje lažnih web stranica.

Za razliku od poznatijih TLD-ova kao što su .com i .net, usmjerenih na hosting web sadržaja, .arpa obavlja određenu funkciju unutar Domain Name System (DNS), Uglavnom se koristi za povezivanje IP adresa s domenama, putem obrnutih DNS zapisa, a ne za hostiranje web stranica.Hakeri su nastavili iskorištavati rupu u kontrolama upravljanja zapisima koje nude neki DNS pružatelji. Ova funkcionalnost omogućuje dodavanje zapisa IP adresa povezanih s.arpa domenama i odatle hostiranje zlonamjernog sadržaja iza ove strukture. 

Za skaliranje kampanja, kriminalci i dalje pribjegavaju dobivanju besplatnih IPv6 tunela, koji pružaju veliku količinu IP adresa koje će se koristiti u napadima.Vrijedi zapamtiti da IPv6 tuneli nisu dizajnirani za ovu vrstu svrhe.Postoje kako bi omogućili komunikaciju na internetu u okruženjima u kojima još uvijek prevladava naslijeđena oprema temeljena na IPv4, a ne kako bi održali operacije krađe identiteta. 

“Kada vidimo napadače kako iskorištavaju.arpu, oni samu jezgru interneta pretvaraju u” oružje, rekla je dr. Renee Burton, potpredsjednica Infoblox Threat Intel.“Obrnuti DNS prostor nikada nije dizajniran za hostiranje web sadržaja, tako da većina obrana to čak i ne smatra potencijalnom površinom prijetnje. Pretvaranjem.arpe u mehanizam isporuke za krađu identiteta, ovi agenti učinkovito zaobilaze tradicionalne kontrole koje se oslanjaju na reputaciju domene ili strukturu URL-a. Branitelji moraju početi tretirati vlastitu DNS infrastrukturu kao vrijedan resurs za napadače i moraju imati bilo kakvu vidljivost za rješavanje zlouporaba kako bi se njima pozabavili.”

Phishing e-mailovi promatrani u ovim kampanjama predstavljaju se kao veliki brendovi i obećavaju “brindes” ili nagrade. Poruke se sastoje od jedne slike koja skriva hipervezu, usmjeravajući žrtve putem sustava za distribuciju prometa (TDS) na lažne web stranice. U međuvremenu, vidljivi URL nikada ne otkriva čudne obrnute DNS nizove temeljene na .arpa koje napadači koriste.

Pogledajte cijeli izvještaj ovdje: https://www.infoblox.com/blog/threat-intelligence/abusing-arpa-the-tld-that-isnt-supposed-to-host-anything/

O Infoblox Threat Intel 

Infoblox prijetnja Intel je vodeći kreator izvornih obavještajnih podataka o DNS prijetnjama, ističući se usred mnoštva agregatora.Što nas izdvaja? Dvije stvari: iznimne DNS vještine i vidljivost bez premca. DNS je notorno složen za tumačenje i analizu, ali naše duboko znanje i jedinstveni pristup unutarnjem funkcioniranju interneta omogućuju nam praćenje aktera prijetnji koje drugi ne mogu otkriti. Mi smo proaktivni, a ne samo obrambeni, koristeći naše uvide za ometanje kibernetičkog kriminala na njegovom izvoru. Također vjerujemo u dijeljenje znanja za podršku sigurnosnoj zajednici u cjelini, objavljivanje detaljnih pokazatelja i stavljanje na raspolaganje na GitHubu, naša inteligencija također je naše integrirano rješenje za Infox.