Phishers misbruiken DNS-infrastructuur via .arpa-domein

Cybercriminelen zetten een nieuwe phishingtechniek in waarbij ze het .arpa-domein misbruiken om beveiligingsmaatregelen te omzeilen. Door IPv6-tunnels op te zetten en reverse DNS-records te manipuleren, kunnen aanvallers frauduleuze sites hosten die door standaard security-tools onopgemerkt blijven. Het gaat om een ondoorzichtige maar effectieve aanvalsvector die gebruik maakt van DNS-infrastructuur.

Infoblox Threat Intel heeft een nieuwe phishingmethode ontdekt waarbij criminelen het .arpa-topniveaudomein misbruiken. Dit domein is eigenlijk gereserveerd voor internetinfrastructuur, niet voor het hosten van websites.

Misbruik van DNS-infrastructuur

De aanvallers zetten IPv6-tunnels op en gebruiken vervolgens reverse DNS-records om frauduleuze sites te hosten. Volgens Infoblox is dit effectief omdat security-tools deze DNS-records normaal gesproken niet monitoren. Het .arpa-domein vervult een bijzondere rol in het Domain Name System en wordt hoofdzakelijk gebruikt om IP-adressen aan domeinen te koppelen.

Infoblox stelt dat aanvallers een mogelijkheid hebben ontdekt in de beheerfuncties van records bij sommige DNS-providers. Hiermee kunnen ze IP-adresrecords voor .arpa-domeinen toevoegen en daarachter kwaadaardige content hosten. Door een gratis IPv6-tunnel te bemachtigen, vergaren ze een groot aantal IP-adressen voor hun campagnes.

Omzeiling van traditionele beveiliging

Dr. Renée Burton van Infoblox Threat Intel geeft aan dat aanvallers in feite de kern van het internet als wapen gebruiken. Reverse DNS-ruimte is volgens haar niet ontworpen om webcontent te hosten, waardoor de meeste security-mechanismen dit niet als potentieel aanvalsoppervlak beschouwen.

Door van .arpa een bezorgkanaal voor phishing te maken, omzeilen deze criminelen traditionele controles die afhankelijk zijn van domeinreputatie of URL-structuur. Burton benadrukt dat verdedigers DNS-infrastructuur moeten behandelen als waardevol digitaal vastgoed voor aanvallers.

Kenmerken van de aanvallen

De phishingmails in deze campagnes lijken op berichten van grote bekende merken en beloven gratis cadeaus of prijzen. Het bedrijf meldt dat de berichten bestaan uit één enkele afbeelding met daarin een verborgen hyperlink. Deze sluist slachtoffers via traffic distribution systems naar frauduleuze websites.

Infoblox geeft aan dat de zichtbare URL nooit de vreemde, op .arpa gebaseerde reverse DNS-records toont die de aanvallers daadwerkelijk gebruiken. Dit maakt de aanvallen extra ondoorzichtig voor eindgebruikers.

Het bericht Phishers misbruiken DNS-infrastructuur via .arpa-domein verscheen eerst op ChannelConnect.