- Os hackers estão abusando de domínios .arpa para ocultar efetivamente ataques de phishing
- E-mails de phishing imitam marcas confiáveis para induzir os usuários a revelar suas credenciais
- Os intervalos de endereços IPv6 dão aos invasores controle sobre subdomínios .arpa maliciosos
Um novo ataque de phishing foi detectado explorando o domínio .arpa, uma parte da Internet normalmente usada para funções essenciais da web, em vez de sites.
Ao contrário de domínios mais populares como .com ou .net, .arpa ajuda os computadores a mapear endereços IP para nomes de domínio, um processo chamado DNS reverso.
Mas uma nova pesquisa da Infoblox Threat Intel diz que os invasores agora estão usando esse espaço para hospedar páginas de phishing, contornando os controles de segurança padrão.
Por que o abuso de .harp é uma ameaça séria
“Quando vemos invasores abusando do .arpa, eles estão transformando o núcleo da Internet em uma arma”, disse a Dra. Renée Burton, vice-presidente de Threat Intel da Infoblox.
Ele explicou que .arpa nunca foi projetado para hospedar sites, por isso muitos sistemas de segurança não o monitoram de perto e, ao usá-lo para entregar páginas maliciosas, os invasores podem contornar as defesas que dependem de nomes de domínio bem conhecidos ou padrões típicos de URL.
O ataque funciona com IPv6, o mais novo tipo de endereço da Internet. Os cibercriminosos obtêm o controle de uma série de endereços e os configuram para apontar para servidores que hospedam páginas de phishing.
Em alguns casos, esses endereços são gerenciados por serviços como o Cloudflare, que ocultam a verdadeira localização do conteúdo malicioso.
Alguns provedores de DNS também permitem que os usuários gerenciem domínios .arpa de maneiras não destinadas à hospedagem na web.
Isso permite que os invasores anexem conteúdo malicioso a entradas que normalmente não levariam a um site.
A revisão também inclui túneis IPv6 gratuitos, que fornecem acesso administrativo a grandes intervalos de endereços, mesmo que os próprios túneis não sejam usados para transporte de dados.
O conteúdo malicioso é enviado por meio de e-mails de phishing, que muitas vezes imitam marcas conhecidas e prometem recompensas como “brindes” ou prêmios para fazer as mensagens parecerem legítimas.
Quando o usuário clica na imagem ou link do e-mail, o usuário é redirecionado para um site falso que contém detalhes de login ou outras informações confidenciais.
Os e-mails servem como isca, endereços .arpa incomuns ficam ocultos em segundo plano, de modo que o URL visível parece normal.
Como .arpa é essencial para operações de DNS, é menos provável que seus domínios sejam bloqueados automaticamente.
Os invasores também criam endereços exclusivos e difíceis de detectar, adicionando subdomínios aleatórios, dificultando a identificação dos sistemas de segurança.
Este método de ataque mostra que os cibercriminosos não precisam explorar bugs de software para ter sucesso.
Ao reutilizar de forma criativa os mecanismos existentes da Internet, os utilizadores podem ser induzidos a fornecer credenciais através de canais aparentemente legítimos.
Burton adverte que os defensores devem tratar a infraestrutura do DNS como “um imóvel de alto valor para os invasores” e monitorar todos os pontos de abuso.
As organizações podem reduzir os riscos reforçando as regras de firewall, aplicando políticas de proteção de identidade e garantindo a remoção rápida de malware se os ataques forem bem-sucedidos.
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
