Novas campanhas de phishing transformam o espaço reservado de nomes de domínio em ferramenta para aplicar golpes

Os ataques de phishing estão por toda parte, mas historicamente, suas táticas seguem padrões e tendências claros. Uma pesquisa da Infoblox Threat Intel revela uma anomalia: um novo método utilizado por cibercriminosos para atingir vítimas. As campanhas maliciosas usam um método inédito, nunca antes relatado, para burlar os controles de segurança. A estratégia consiste em explorar o espaço de nomes de domínio reservada à própria infraestrutura da internet para distribuir phishing por meio de spam. Nesse sentido, os criminosos criam túneis IPv6 e, em seguida, usam registros DNS reversos para hospedar os sites fraudulentos. É um vetor de ataque confuso, mas igualmente eficaz, já que esses registros DNS, hospedados no domínio de nível superior .arpa, dificilmente serão detectados por produtos de segurança.

Diferentemente de TLDs mais conhecidos, como .com e .net, voltados à hospedagem de conteúdos na web, o .arpa desempenha uma função específica dentro do Sistema de Nomes de Domínio (DNS). Ele é usado principalmente para associar endereços IP a domínios, por meio de registros de DNS reverso, e não para hospedar sites. Os hackers passaram a explorar uma brecha em controles de gerenciamento de registros oferecidos por alguns provedores de DNS. Essa funcionalidade permite adicionar registros de endereços IP vinculados a domínios .arpa e, a partir daí, hospedar conteúdo malicioso por trás dessa estrutura. 

Para escalar as campanhas, os criminosos ainda recorrem à obtenção de túneis IPv6 gratuitos, que fornecem um grande volume de endereços IP a serem utilizados nos ataques. Vale lembrar que túneis IPv6 não foram concebidos para esse tipo de finalidade. Eles existem para viabilizar a comunicação na internet em ambientes onde ainda predominam equipamentos legados baseados em IPv4 e não para sustentar operações de phishing. 

“Quando vemos atacantes explorando o .arpa, eles estão transformando o próprio núcleo da internet em uma arma”, disse a Dra. Renée Burton, vice-presidente da Infoblox Threat Intel. “O espaço de DNS reverso nunca foi projetado para hospedar conteúdo da web, então a maioria das defesas nem o considera como uma superfície de ameaça em potencial. Ao transformar o .arpa em um mecanismo de entrega para phishing, esses agentes efetivamente contornam os controles tradicionais que dependem da reputação do domínio ou da estrutura da URL. Os defensores precisam começar a tratar a própria infraestrutura de DNS como um recurso valioso para os atacantes e precisam ter visibilidade para identificar abusos em qualquer tipo de localização.”

Os e-mails de phishing observados nessas campanhas se fazem passar por grandes marcas e prometem “brindes” ou prêmios. As mensagens consistem em uma única imagem que esconde um hiperlink, direcionando as vítimas por meio de sistemas de distribuição de tráfego (TDSs) para sites fraudulentos. Enquanto isso, a URL visível jamais revela as estranhas strings de DNS reverso baseadas em .arpa que os atacantes estão utilizando.

Confira o relatório completo aqui: https://www.infoblox.com/blog/threat-intelligence/abusing-arpa-the-tld-that-isnt-supposed-to-host-anything/

Sobre a Infoblox Threat Intel 

A Infoblox Threat Intel é a principal criadora de inteligência original sobre ameaças de DNS, destacando-se em meio a uma infinidade de agregadores. O que nos diferencia? Duas coisas: habilidades excepcionais em DNS e visibilidade incomparável. O DNS é notoriamente complexo de interpretar e analisar, mas nosso profundo conhecimento e acesso exclusivo ao funcionamento interno da internet nos permitem rastrear agentes de ameaças que outros não conseguem detectar. Somos proativos, não apenas defensivos, usando nossos insights para interromper o cibercrime em sua origem. Também acreditamos em compartilhar conhecimento para apoiar a comunidade de segurança em geral, publicando pesquisas detalhadas e disponibilizando indicadores no GitHub. Além disso, nossa inteligência é perfeitamente integrada às nossas soluções de Detecção e Resposta de DNS da Infoblox, para que os clientes obtenham automaticamente seus benefícios, juntamente com taxas de falsos positivos extremamente baixas.