Underc0de - La Casa de los Informáticos

Una nueva campaña de phishing ha encendido las alarmas en la comunidad de ciberseguridad al aprovechar una parte poco conocida de la infraestructura de Internet: el dominio de uso especial .arpa y el sistema de DNS inverso IPv6. Investigadores han descubierto que los atacantes están utilizando esta técnica para evadir sistemas de detección de phishing, reputación de dominios y pasarelas de seguridad de correo electrónico.

El análisis fue realizado por expertos de Infoblox, quienes identificaron una campaña activa que manipula el funcionamiento del DNS inverso para ocultar infraestructuras maliciosas y distribuir páginas de phishing mediante URLs difíciles de detectar por los sistemas de seguridad tradicionales.

Este método demuestra cómo los actores maliciosos están explotando componentes fundamentales de la arquitectura de Internet para mejorar la efectividad de sus ataques y evitar ser bloqueados.

Qué es el dominio .arpa y para qué se utiliza

El dominio .arpa no es un dominio tradicional utilizado para páginas web. En realidad, es un dominio de nivel superior reservado para infraestructura de Internet, gestionado para soportar funciones técnicas esenciales del ecosistema DNS.

Entre sus principales usos se encuentran:

• Búsquedas DNS inversas
• Resolución de direcciones IP a nombres de host
• Servicios técnicos relacionados con redes

En el sistema DNS convencional, los usuarios consultan nombres de dominio como ejemplo.com para obtener su dirección IP. Sin embargo, en el caso del DNS inverso ocurre lo contrario: se consulta una dirección IP para determinar el nombre de host asociado.

Para realizar estas consultas se utilizan dominios específicos dentro de .arpa:

• in-addr.arpa para direcciones IPv4
• ip6.arpa para direcciones IPv6

Este sistema permite que los servidores y herramientas de red identifiquen el origen de una dirección IP mediante registros PTR (Pointer Records).

Cómo funciona el DNS inverso en la práctica

Cuando un sistema necesita resolver una dirección IP a un nombre de host, el DNS utiliza una representación invertida de la dirección IP dentro de los dominios .arpa.

Por ejemplo, el dominio Google tiene la dirección IPv4 192.178.50.36. Al realizar una consulta inversa con la herramienta Dig, el sistema genera una consulta como:

36.50.178.192.in-addr.arpa

El servidor DNS responde con un registro PTR que apunta a un nombre de host legítimo.

El mismo proceso ocurre con IPv6, aunque la representación es más extensa. Por ejemplo, una dirección IPv6 puede resolverse mediante un nombre extremadamente largo dentro de ip6.arpa, que posteriormente se traduce a un hostname.

Esta funcionalidad es ampliamente utilizada en diagnóstico de redes, verificación de servidores de correo y análisis de tráfico.

Cómo los atacantes están abusando de ip6.arpa

Según Infoblox, los ciberdelincuentes han descubierto una forma de aprovechar el control sobre bloques de direcciones IPv6 para manipular el DNS inverso y crear dominios utilizados en ataques de phishing.

El proceso funciona de la siguiente manera:

• Los atacantes obtienen un bloque de direcciones IPv6 mediante servicios de túnel IPv6 o proveedores de red.
• Una vez controlado el rango de direcciones, configuran la zona DNS inversa correspondiente.
• En lugar de crear únicamente registros PTR, añaden otros tipos de registros DNS.
• Estos registros se utilizan para redirigir tráfico hacia infraestructuras de phishing.

Normalmente, el DNS inverso está diseñado solo para registrar PTR records, pero algunas plataformas de gestión DNS permiten crear registros A, CNAME u otros registros adicionales, lo que abre una puerta a posibles abusos.

Los investigadores confirmaron que los atacantes han utilizado proveedores conocidos como:

• Cloudflare
• Hurricane Electric

Ambos servicios poseen una reputación sólida, lo que ayuda a que el tráfico malicioso parezca legítimo ante herramientas de seguridad.

Infraestructura de phishing basada en DNS inverso

Una vez que los atacantes obtienen control sobre la zona DNS inversa, generan subdominios complejos y aparentemente aleatorios derivados de la dirección IPv6.

Un ejemplo típico podría verse así:

d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa

Este tipo de dominios resulta difícil de identificar para filtros de seguridad y también puede pasar desapercibido para las víctimas.

En lugar de crear registros PTR tradicionales, los atacantes configuran registros A que apuntan a servidores de phishing.

Como resultado, cuando un usuario interactúa con el enlace, el sistema DNS lo resuelve hacia una infraestructura controlada por los atacantes.

Cómo se distribuyen los enlaces de phishing

Los correos electrónicos maliciosos utilizan diversos señuelos de ingeniería social, entre ellos:

• Promesas de premios
• Recompensas por encuestas
• Notificaciones de cuentas
• Alertas falsas de servicios

Los enlaces de phishing no se muestran directamente como URLs sospechosas. En cambio, se incrustan en imágenes dentro del correo electrónico.

Cuando el usuario hace clic en la imagen, el sistema realiza una consulta DNS al dominio ip6.arpa, lo que desencadena la cadena de resolución hacia el servidor controlado por el atacante.

Uso de sistemas de distribución de tráfico (TDS)

Una vez que el usuario accede al enlace, el tráfico pasa por un Traffic Distribution System (TDS).

Este sistema analiza diferentes características del visitante, como:

• Dirección IP
• Tipo de dispositivo
• Ubicación geográfica
• Referencias web
• Navegador

Si el visitante parece ser una víctima potencial, el TDS lo redirige a un sitio de phishing activo.

En cambio, si detecta que se trata de un investigador o herramienta de análisis, el sistema puede redirigirlo a sitios legítimos para ocultar la campaña.

Enlaces efímeros para evadir análisis

Otro aspecto interesante de esta campaña es la vida útil extremadamente corta de los enlaces maliciosos.

Según Infoblox, muchos enlaces permanecen activos solo durante unos días. Posteriormente:

• Redirigen a errores de dominio
• Apuntan a sitios legítimos
• Desaparecen completamente

Esta estrategia dificulta que los investigadores puedan analizar el ataque una vez detectado.

Falta de datos WHOIS dificulta la detección

El uso del dominio .arpa también representa un desafío adicional para las herramientas de seguridad.

A diferencia de los dominios tradicionales, los dominios dentro de .arpa no contienen información WHOIS pública, como:

• Antigüedad del dominio
• Información de registro
• Datos de contacto del propietario

Muchos sistemas de detección de phishing utilizan estos datos para evaluar la reputación de un dominio, por lo que la ausencia de esta información reduce la eficacia de los filtros automáticos.

Otras técnicas utilizadas en la campaña

Además del abuso de DNS inverso, los investigadores identificaron otras tácticas utilizadas por los atacantes.

Entre ellas:

Secuestro de CNAME colgantes

Los ciberdelincuentes aprovecharon registros CNAME mal configurados en sitios legítimos para redirigir tráfico a sus propios servidores.

Shadowing de subdominios

También se detectó subdomain shadowing, una técnica que permite a los atacantes crear subdominios dentro de dominios comprometidos.

Infoblox identificó más de 100 casos donde se utilizaron CNAMEs secuestrados de:

• agencias gubernamentales
• universidades
• empresas de telecomunicaciones
• medios de comunicación
• minoristas

Esto permitió que el contenido de phishing pareciera provenir de organizaciones legítimas y confiables.

Por qué esta técnica es peligrosa

El abuso del DNS inverso representa una evolución preocupante en las tácticas de phishing, ya que explota infraestructura legítima de Internet que normalmente es considerada confiable.

Al utilizar dominios .arpa y proveedores DNS con buena reputación, los atacantes pueden generar URLs que eluden los mecanismos tradicionales de detección.

Esto demuestra que los actores maliciosos continúan innovando para evitar las defensas basadas en reputación de dominio.

Cómo protegerse contra este tipo de ataques

A pesar de la sofisticación de estas campañas, existen buenas prácticas que pueden reducir significativamente el riesgo de ser víctima de phishing.

Entre ellas:

• No hacer clic en enlaces inesperados en correos electrónicos
• Verificar siempre la URL antes de introducir credenciales
• Acceder a servicios directamente desde sus sitios oficiales
• Utilizar autenticación multifactor
• Mantener actualizado el software de seguridad

La educación del usuario sigue siendo una de las defensas más efectivas contra el phishing, incluso frente a técnicas avanzadas como el abuso del DNS inverso.

Fuente: https://www.bleepingcomputer.com/