Uma nova modalidade de ataque de phishing foi identificada, explorando o domínio .arpa, uma área da internet destinada a funções essenciais de rede, e não para hospedagem de sites. Diferentemente de domínios mais comuns, como .com ou .net, o .arpa auxilia computadores a associar endereços IP a nomes de domínio, um processo conhecido como DNS reverso.
De acordo com informações da Infoblox Threat Intel, cibercriminosos estão utilizando este espaço para hospedar páginas de phishing, burlando verificações de segurança padrão. Os e-mails de phishing imitam marcas confiáveis para induzir usuários a revelar suas credenciais.
Por que o abuso de .arpa representa uma ameaça grave?
“Quando vemos atacantes abusando do .arpa, eles estão transformando o núcleo da internet em arma”, afirma Dra. Renée Burton, vice-presidente da Infoblox Threat Intel. Ela explica que o .arpa nunca foi projetado para hospedar sites, o que faz com que muitos sistemas de segurança não o monitorem de perto. Ao utilizar este domínio para entregar páginas maliciosas, os atacantes conseguem contornar defesas que dependem de nomes de domínio conhecidos ou padrões de URL típicos.
O ataque se aproveita do IPv6, a versão mais recente de endereços de internet. Os criminosos virtuais obtêm controle sobre uma gama de endereços e os configuram para direcionar a servidores que hospedam páginas de phishing. Em alguns casos, esses endereços são gerenciados por meio de serviços como Cloudflare, que ocultam a localização real do conteúdo malicioso.
Como os ataques de phishing se disfarçam?
Alguns provedores de DNS até permitem que usuários gerenciem domínios .arpa de maneiras não planejadas para hospedagem web. Isso possibilita que criminosos associem conteúdo nocivo a entradas que normalmente não levariam a um site. O abuso também envolve túneis IPv6 gratuitos, que fornecem acesso administrativo a grandes intervalos de endereços, mesmo que os túneis em si não sejam usados para tráfego de dados.
O conteúdo malicioso é distribuído por meio de e-mails de phishing, frequentemente imitando marcas conhecidas e oferecendo recompensas como “presentes grátis” ou prêmios para conferir legitimidade às mensagens. Quando um usuário clica na imagem ou link no e-mail, é redirecionado para um site falso que captura dados de login ou outras informações sensíveis.
Quais as táticas usadas para evitar a detecção?
Os e-mails servem como isca, enquanto os endereços .arpa incomuns permanecem ocultos em segundo plano, de forma que o URL visível parece normal. Como o .arpa é essencial para as operações de DNS, seus domínios têm menor probabilidade de serem bloqueados automaticamente. Os atacantes também criam endereços únicos e difíceis de detectar, adicionando subdomínios aleatórios, o que dificulta a identificação por sistemas de segurança.
Este método de ataque demonstra que cibercriminosos não precisam explorar falhas de software para ter sucesso. Ao reaproveitar criativamente mecanismos existentes da internet, eles conseguem enganar usuários para que forneçam credenciais por meio de canais aparentemente legítimos.
Como se proteger contra esses ataques?
Burton adverte que os responsáveis pela segurança precisam tratar a infraestrutura de DNS como “imóveis de alto valor para atacantes” e monitorar todos os possíveis pontos de abuso. Organizações podem reduzir o risco reforçando regras de firewall, implementando políticas de proteção de identidade e garantindo a rápida remoção de malware caso os ataques tenham sucesso.
