Una nueva campaña de phishing, se detectó por el equipo de investigación de la firma de soluciones de ciberseguridad Infoblox. Donde los grupos de cibercriminales emplean dominios de nivel superior (.arpa), servidores DNS inversos y túneles IPv6.
Esto se debe a que son recursos, que están disponibles de manera gratuita y por eso permiten desplegar este tipo de campañas, para evitar su detección. Así la unidad de inteligencia en ciberseguridad Infoblox Threat Intel (ITI), descubrió dichos incidentes.
“Actualmente, cuando vemos que los cibercriminales hacen un uso fraudulento de un dominio como .arpa. Están utilizando como herramienta la médula misma del propio Internet, por ello se debe tomar medidas al respecto”, aseveró Renée Burton, VP de Infoblox Threat Intel.
De este modo, la unidad de inteligencia de seguridad de Infoblox descubrió la nueva campaña de phishing e incluso publicó un estudio al respecto. En el que identifica un nuevo método utilizado por los ciberdelincuentes, para crear este tipo de amenazas.
Otra de las particularidades de este incidente, es el uso fraudulento de los nombres de dominio de nivel superior .arpa. Que son reservados, además de servidores DNS inversos y túneles IPv6, aspectos que no se consideran de alto riesgo digital.
“El espacio DNS inverso nunca fue diseñado para alojar contenido web, por lo que la mayoría de las defensas ni siquiera lo consideran una amenaza potencial. Al convertir .arpa en una plataforma de phishing, estos actores eluden eficazmente los controles tradicionales”, acotó el directivo.
Sector empresarial debe lidiar con una nueva campaña de phishing
Cabe destacar que la técnica utilizada en esta nueva campaña de phishing, se basa en el uso de un espacio de nombres de dominio reservado. Esto como parte de la infraestructura del Internet, ante dicho entorno las empresas deben tomar medidas.
A diferencia de los dominios de nivel superior (.com y .net), que se utilizan para sitios que alojan contenido web. El dominio .arpa se emplea principalmente para asignar la dirección IP a los dominios y proporcionar registros DNS inversos, pero esto cambió.
“Las medidas de protección convencionales dependen de la reputación del dominio o la estructura de la URL. Sin embargo, las áreas de seguridad deben empezar a tratar a la infraestructura DNS como un recurso susceptible de ser utilizado por estos agentes maliciosos”, compartió Burton.
Otra etapa de la nueva campaña de phishing, consiste en crear túneles IPv6 y utilizar registros DNS inversos, para alojar sitios fraudulentos. Se trata de una técnica difícil de detectar, ya que no se identifican por las soluciones tradicionales de seguridad.
Finalmente, estos ataques usan como vector de ataque a los correos electrónicos que suplantan la identidad de grandes marcas, así prometen falsos premios. Sin embargo, los mensajes incluyen una imagen que oculta un hipervínculo a sitios con alto riesgo.
“Las organizaciones necesitan visibilidad, para detectar estos usos fraudulentos de los dominios, por ello publicamos un documento de referencia. Así las organizaciones del sector productivo, se pueden conocer mejor estos nuevos métodos que emplean los criminales”, finalizó el directivo.