Фишеры спрятали вредоносные ссылки в святая святых интернета — зону .arpa. Её нельзя блокировать, иначе рухнет DNS
NewsMakerФильтры бессильны против новой угрозы.
Фишинговые рассылки давно стали рутиной, поэтому злоумышленникам приходится искать нестандартные ходы, чтобы обойти фильтры. В новых кампаниях исследователи обнаружили прием, о котором раньше публично не сообщалось: для размещения вредоносного контента используется доменная зона .arpa в связке с IPv6 . Речь идет о техническом домене верхнего уровня, который изначально предназначен не для сайтов, а для служебных задач системы DNS , прежде всего для обратного сопоставления IP-адресов и доменных имен.
В обычной практике .arpa применяют для reverse DNS, когда по IP-адресу определяют связанное с ним имя. Например, для IPv6 используется пространство ip6.arpa. В этих кампаниях злоумышленники нашли особенность в механизмах управления DNS у некоторых провайдеров: им удается добавлять записи типа A для доменов в зоне .arpa, хотя такие домены по своей природе не должны использоваться для размещения веб-контента. Получив контроль над соответствующим диапазоном IPv6 и поддоменом .arpa, они фактически могут настроить хостинг как для обычного сайта.
Сами письма выглядят привычно: злоумышленники маскируются под крупные бренды и обещают бесплатный приз. Тело сообщения часто состоит только из изображения. В него встроена гиперссылка, которая ведет на вредоносный ресурс через цепочку редиректов и систему распределения трафика, TDS. Ключевая особенность в том, что ссылка указывает не на привычный домен вроде example.com, а на строку обратного DNS, построенную из IPv6-адреса, например вида d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa.
Если бы пользователь увидел такой адрес в явном виде, он, скорее всего, насторожился бы. Но в письме он скрыт за картинкой. При нажатии устройство пытается разрешить домен .arpa. Поскольку эта зона критически важна для работы интернета, такие имена редко попадают в блок-листы. После первого перехода система анализирует устройство и параметры соединения жертвы, а затем при выполнении нужных условий перенаправляет ее дальше, пока она не окажется на фишинговой странице .
Фишинговые рассылки давно стали рутиной, поэтому злоумышленникам приходится искать нестандартные ходы, чтобы обойти фильтры. В новых кампаниях исследователи обнаружили прием, о котором раньше публично не сообщалось: для размещения вредоносного контента используется доменная зона .arpa в связке с IPv6 . Речь идет о техническом домене верхнего уровня, который изначально предназначен не для сайтов, а для служебных задач системы DNS , прежде всего для обратного сопоставления IP-адресов и доменных имен.
В обычной практике .arpa применяют для reverse DNS, когда по IP-адресу определяют связанное с ним имя. Например, для IPv6 используется пространство ip6.arpa. В этих кампаниях злоумышленники нашли особенность в механизмах управления DNS у некоторых провайдеров: им удается добавлять записи типа A для доменов в зоне .arpa, хотя такие домены по своей природе не должны использоваться для размещения веб-контента. Получив контроль над соответствующим диапазоном IPv6 и поддоменом .arpa, они фактически могут настроить хостинг как для обычного сайта.
Сами письма выглядят привычно: злоумышленники маскируются под крупные бренды и обещают бесплатный приз. Тело сообщения часто состоит только из изображения. В него встроена гиперссылка, которая ведет на вредоносный ресурс через цепочку редиректов и систему распределения трафика, TDS. Ключевая особенность в том, что ссылка указывает не на привычный домен вроде example.com, а на строку обратного DNS, построенную из IPv6-адреса, например вида d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa.
Если бы пользователь увидел такой адрес в явном виде, он, скорее всего, насторожился бы. Но в письме он скрыт за картинкой. При нажатии устройство пытается разрешить домен .arpa. Поскольку эта зона критически важна для работы интернета, такие имена редко попадают в блок-листы. После первого перехода система анализирует устройство и параметры соединения жертвы, а затем при выполнении нужных условий перенаправляет ее дальше, пока она не окажется на фишинговой странице .