Infoblox Threat Intel (ITI), la unidad de inteligencia de seguridad de Infoblox, publicó un análisis en el que identifica un nuevo método utilizado por ciberdelincuentes para crear campañas de phishing —ataques que suplantan la identidad de entidades confiables para robar información—.
La técnica se basa en el uso fraudulento de dominios .arpa, servidores DNS inversos y túneles IPv6 para alojar sitios fraudulentos difíciles de detectar.
Cómo funciona la técnica
El dominio .arpa es un espacio de nombres reservado dentro de la infraestructura de internet.
A diferencia de dominios como .com o .net —usados para alojar contenido web—, el dominio .arpa se utiliza principalmente para asignar direcciones IP a nombres de dominio mediante registros DNS inversos —sistema que traduce direcciones IP numéricas a nombres de dominio legibles—.
Los atacantes explotan una vulnerabilidad en los controles de gestión de algunos proveedores de DNS que les permite añadir registros de direcciones IP para dominios .arpa y alojar contenido malicioso en esa infraestructura.
Luego utilizan túneles IPv6 —mecanismo que permite transmitir tráfico de internet a través de redes compatibles con la versión 6 del protocolo de internet— de forma gratuita para obtener una gran cantidad de direcciones IP que emplear en sus campañas.
Por qué es difícil de detectar
La técnica es efectiva porque la mayoría de las herramientas de seguridad no monitorean los registros DNS alojados en dominios .arpa, al estar diseñadas para analizar dominios de contenido web convencionales.
Las campañas utilizan correos electrónicos que suplantan la identidad de grandes marcas y prometen regalos o premios.
Los mensajes incluyen una imagen con un hipervínculo incrustado que redirige a las víctimas a sitios fraudulentos mediante sistemas de distribución de tráfico (TDS) —plataformas que enrutan al usuario según su perfil o ubicación—.
La URL visible para el usuario es una dirección ordinaria que no revela las cadenas de DNS inverso basadas en .arpa que los atacantes utilizan en el fondo.
El análisis del experto
“Cuando vemos que los atacantes hacen un uso fraudulento de .arpa, están utilizando como herramienta la médula misma de internet”, señaló Renée Burton, VP de Infoblox Threat Intel.
“El espacio DNS inverso nunca fue diseñado para alojar contenido web, por lo que la mayoría de las defensas ni siquiera lo consideran una amenaza potencial”, continuó.
“Al convertir .arpa en una plataforma de phishing, estos actores eluden eficazmente los controles tradicionales que dependen de la reputación del dominio o la estructura de la URL”, agregó Burton.
“Las defensas deben empezar a tratar la infraestructura DNS como un recurso susceptible de ser utilizado por agentes maliciosos, y necesitan visibilidad para detectar estos usos fraudulentos”, concluyó.
