Dominios de nivel superior .arpa usados en campañas de phishing

Infoblox Threat Intel ha publicado un informe en el que explica la aparición de un nuevo método para el fraude que se basa en el uso de dominios de nivel superior .arpa, devenidos de la añeja ARPANET, la red en la que se basó Internet. En su parte más visible, las campañas de phishing son similares a cualquier otra, con emails de suplantación de identidad que prometen regalos o premios.

Como explica Infoblox, “los mensajes incluyen una imagen que oculta un hipervínculo incrustado, que redirige a las víctimas a sitios web fraudulentos mediante sistemas de distribución de tráfico. La URL que visualiza el usuario es una URL ordinaria, que no revela las cadenas de DNS inverso basadas en .arpa que los atacantes están utilizando”.

El uso de estos dominios hace más difícil para las herramientas de seguridad detectar estos registros DNS. La compañía explica que el método aprovecha una función en los controles de gestión de registros de algunos proveedores de DNS que permite “añadir registros de direcciones IP para dominios .arpa y alojar libremente contenido malicioso en esa infraestructura”. Con un túnel IPv6 gratuito logran las direcciones IP para las campañas.

Renée Burton, vicepresidente de Infoblox Threat Intel, explica que “el espacio DNS inverso nunca fue diseñado para alojar contenido web, por lo que la mayoría de las defensas ni siquiera lo consideran una amenaza potencial. Al convertir .arpa en una plataforma de phishing, estos actores eluden eficazmente los controles tradicionales que dependen de la reputación del dominio o la estructura de la URL. Las defensas deben empezar a tratar la infraestructura DNS como un recurso susceptible de ser utilizado por agentes maliciosos”.