Infoblox Threat Intel (ITI), la unidad de inteligencia de seguridad de Infoblox, publicó un documento en el que identifica un nuevo método utilizado por los ciberdelincuentes para crear campañas de phishing, basado en la utilización fraudulenta de nombres de dominio de nivel superior (dominios .arpa) reservados, servidores DNS inversos y túneles IPv6.
La técnica utilizada se basa en el uso de un espacio de nombres de dominio reservado como parte de la infraestructura de Internet. A diferencia de los dominios de nivel superior .com y .net, que se utilizan para sitios que alojan contenido web, el dominio .arpa se utiliza principalmente para asignar direcciones IP a dominios y proporcionar registros DNS inversos. Luego, los actores crean túneles IPv6 y utilizan registros DNS inversos para alojar los sitios fraudulentos.
Es una técnica difícil de detectar, ya que es poco probable que las herramientas de seguridad al uso detecten estos registros DNS, al estar alojados en el dominios tipo .arpa. Los cibercriminales aprovechan una vulnerabilidad, una función en los controles de gestión de registros de algunos proveedores de DNS que les permite añadir registros de direcciones IP para dominios .arpa y alojar libremente contenido malicioso en esa infraestructura. Posteriormente, utilizan un túnel IPv6 gratuito para obtener una gran cantidad de direcciones IP que utilizar en sus campañas.
Las campañas utilizan como vector de ataque correos electrónicos que suplantan la identidad de grandes marcas y prometen “regalos” o premios. Los mensajes incluyen una imagen que oculta un hipervínculo incrustado, que redirige a las víctimas a sitios web fraudulentos mediante sistemas de distribución de tráfico (TDS). La URL que visualiza el usuario es una URL ordinaria, que no revela las cadenas de DNS inverso basadas en .arpa que los atacantes están utilizando.
Como comentó Renée Burton, VP de Infoblox Threat Intel, “cuando vemos que los atacantes hacen un uso fraudulento de .arpa, están utilizando como herramienta la médula misma de Internet. El espacio DNS inverso nunca fue diseñado para alojar contenido web, por lo que la mayoría de las defensas ni siquiera lo consideran una amenaza potencial. Al convertir .arpa en una plataforma de phishing, estos actores eluden eficazmente los controles tradicionales que dependen de la reputación del dominio o la estructura de la URL. Las defensas deben empezar a tratar la infraestructura DNS como un recurso susceptible de ser utilizado por agentes maliciosos, y necesitan visibilidad para detectar estos usos fraudulentos”.
