Uma nova pesquisa da Infoblox Threat Intel mostra como criminosos
estão distorcendo um elemento central da infraestrutura da internet para
driblar muitos dos mecanismos padrão de segurança 
Os ataques de phishing estão por toda parte,
mas historicamente, suas táticas seguem padrões e tendências claros. Uma
pesquisa da Infoblox Threat Intel revela uma anomalia: um novo método utilizado
por cibercriminosos para atingir vítimas. As campanhas maliciosas usam um
método inédito, nunca antes relatado, para burlar os controles de segurança. A
estratégia consiste em explorar o espaço de nomes de domínio reservada à
própria infraestrutura da internet para distribuir phishing por meio de spam.
Nesse sentido, os criminosos criam túneis IPv6 e, em seguida, usam registros
DNS reversos para hospedar os sites fraudulentos. É um vetor de ataque confuso,
mas igualmente eficaz, já que esses registros DNS, hospedados no domínio de
nível superior .arpa, dificilmente serão detectados por produtos de segurança.
Diferentemente de TLDs mais conhecidos, como
.com e .net, voltados à hospedagem de conteúdos na web, o .arpa desempenha uma
função específica dentro do Sistema de Nomes de Domínio (DNS). Ele é usado
principalmente para associar endereços IP a domínios, por meio de registros de
DNS reverso, e não para hospedar sites. Os hackers passaram a explorar uma
brecha em controles de gerenciamento de registros oferecidos por alguns
provedores de DNS. Essa funcionalidade permite adicionar registros de endereços
IP vinculados a domínios .arpa e, a partir daí, hospedar conteúdo malicioso por
trás dessa estrutura.
Para escalar as campanhas, os criminosos
ainda recorrem à obtenção de túneis IPv6 gratuitos, que fornecem um grande
volume de endereços IP a serem utilizados nos ataques. Vale lembrar que túneis
IPv6 não foram concebidos para esse tipo de finalidade. Eles existem para
viabilizar a comunicação na internet em ambientes onde ainda predominam
equipamentos legados baseados em IPv4 e não para sustentar operações de
phishing.
“Quando vemos atacantes explorando o .arpa, eles
estão transformando o próprio núcleo da internet em uma arma”, disse a Dra.
Renée Burton, vice-presidente da Infoblox Threat Intel. “O espaço de DNS
reverso nunca foi projetado para hospedar conteúdo da web, então a maioria das
defesas nem o considera como uma superfície de ameaça em potencial. Ao
transformar o .arpa em um mecanismo de entrega para phishing, esses agentes
efetivamente contornam os controles tradicionais que dependem da reputação do
domínio ou da estrutura da URL. Os defensores precisam começar a tratar a
própria infraestrutura de DNS como um recurso valioso para os atacantes e
precisam ter visibilidade para identificar abusos em qualquer tipo de
localização.”
Os e-mails de phishing observados nessas
campanhas se fazem passar por grandes marcas e prometem "brindes" ou
prêmios. As mensagens consistem em uma única imagem que esconde um hiperlink,
direcionando as vítimas por meio de sistemas de distribuição de tráfego (TDSs)
para sites fraudulentos. Enquanto isso, a URL visível jamais revela as
estranhas strings de DNS reverso baseadas em .arpa que os atacantes estão
utilizando.
Confira o
relatório completo aqui: https://www.infoblox.com/blog/threat-intelligence/abusing-arpa-the-tld-that-isnt-supposed-to-host-anything/
Infoblox Threat Intel
Infoblox.com
Nenhum comentário:
Postar um comentário