Cibercriminosos estão abusando do domínio especial “.arpa” e do reverse DNS do IPv6 em campanhas de phishing, conseguindo escapar com mais facilidade das verificações de reputação de domínio e dos gateways de segurança de e-mail.
O domínio .arpa é um top-level domain (TLD) reservado para a infraestrutura da internet, não para sites comuns.
Ele é utilizado nas consultas de reverse DNS, que mapeiam um endereço IP para um nome de host.
No IPv4, essas consultas usam o domínio in-addr.arpa; no IPv6, utiliza-se o ip6.arpa.
Nessas consultas, o endereço IP é invertido e anexado a um desses domínios para formar o hostname consultado.
Por exemplo, o site www.google.com possui os endereços IP 192.178.50.36 (IPv4) e 2607:f8b0:4008:802::2004 (IPv6).
Ao consultar o IP IPv4 usando a ferramenta dig, o endereço é resolvido para um hostname no domínio in-addr.arpa, que, por sua vez, aponta para um nome de host comum.
Já a consulta para o IPv6 resolve para um hostname dentro do ip6.arpa, que depois retorna a um hostname regular.
Uma campanha de phishing identificada pela Infoblox está explorando o TLD ip6.arpa, que normalmente mapeia endereços IPv6 para hostnames por meio de registros PTR.
No entanto, os criminosos perceberam que, ao reservar seu próprio espaço de endereços IPv6, podem abusar dessa zona de reverse DNS configurando registros adicionais para hospedar sites de phishing.
Normalmente, os domínios de reverse DNS são usados apenas para registros PTR, que indicam o hostname associado a um IP consultado.
Mas, ao controlar a zona DNS da faixa IPv6, os atacantes conseguiram criar, em algumas plataformas de gestão DNS, outros tipos de registros usados em ataques de phishing.
“Vimos atores maliciosos abusando de provedores como Hurricane Electric e Cloudflare para criar esses registros — ambos com boa reputação, o que é explorado pelos atacantes —, e confirmamos que outros provedores também permitem essas configurações”, explica a Infoblox.
“Nossos testes não foram exaustivos, mas notificamos os provedores onde encontramos essa vulnerabilidade.
A Figura 2 ilustra o processo usado pelos atacantes para criar domínios empregados nos e-mails de phishing.”
Para montar a infraestrutura, os criminosos obtiveram blocos de endereços IPv6 por meio de serviços de tunelamento IPv6.
Com o controle desses endereços, eles geram hostnames de reverse DNS baseados na faixa IPv6, usando subdomínios aleatórios difíceis de detectar ou bloquear.
Em vez de configurarem registros PTR, que seriam esperados, os atacantes criam registros A que apontam esses domínios de reverse DNS para infraestrutura que hospeda sites de phishing.
Os e-mails da campanha usam iscas como promessas de prêmios, recompensas de pesquisas ou notificações de conta.
As iscas estão incorporadas ao e-mail como imagens vinculadas a registros DNS de reverse IPv6, por exemplo “d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa”, e não a hostnames convencionais, para que o destinatário não perceba o domínio incomum.
Quando a vítima clica na imagem, seu dispositivo resolve o hostname controlado pelos atacantes por meio do servidor DNS do provedor.
Em alguns casos, os servidores autoritativos estavam hospedados na Cloudflare, e os domínios de reverse DNS resolviam para IPs da Cloudflare, ocultando a localização da infraestrutura de phishing por trás da operação.
Após o clique, o usuário é redirecionado por um sistema de distribuição de tráfego (TDS) que verifica se ele é um alvo válido, analisando tipo de dispositivo, IP, referenciadores web e outros critérios.
Se a validação for positiva, o usuário é direcionado para o site de phishing; caso contrário, é levado a um site legítimo.
A Infoblox destaca que os links de phishing têm vida curta, geralmente ativa por poucos dias.
Quando expiram, redirecionam para erros de domínio ou sites legítimos, dificultando a análise e investigação por parte dos pesquisadores de segurança.
Além disso, por ser um domínio reservado à infraestrutura da internet, o .arpa não possui informações comuns a domínios registrados, como dados de WHOIS, tempo de registro ou contatos, o que complica a detecção por gateways de e-mail e ferramentas de segurança.
Os pesquisadores também observaram que a campanha usa outras técnicas, como sequestro de registros CNAME “dangling” e subdomain shadowing, permitindo que os invasores hospedem conteúdo de phishing em subdomínios ligados a organizações legítimas.
“Identificamos mais de 100 casos em que atores maliciosos usaram CNAMEs sequestrados de agências governamentais, universidades, empresas de telecomunicações, veículos de mídia e varejistas conhecidos”, revelou a Infoblox.
Ao explorar funcionalidades legítimas do reverse DNS usadas por ferramentas de segurança, os criminosos criam URLs de phishing que escapam dos métodos tradicionais de detecção.
A recomendação para evitar ataques desse tipo permanece a mesma: não clique em links inesperados em e-mails e, sempre que possível, acesse serviços diretamente pelos sites oficiais.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...