Pesquisadores identificaram campanhas de phishing que abusam do domínio especial .arpa e de registros de DNS reverso IPv6 para escapar de mecanismos tradicionais de reputação de domínio. O truque permite que e‑mails maliciosos pareçam legitimamente roteados, aumentando as chances de passar por gateways e filtros de segurança. A técnica representa mais um passo na evolução de campanhas de phishing sofisticadas contra usuários corporativos.
De acordo com o relatório, os atacantes utilizam domínios sob .ip6.arpa, que fazem parte da infraestrutura de DNS reverso do IPv6, para construir URLs e cabeçalhos de e‑mail que dificultam a análise automática pelos filtros. Como esses domínios são considerados de uso especial, muitas soluções de segurança não aplicam as mesmas verificações de reputação e bloqueio usadas para domínios comuns, abrindo espaço para abusos.
Entre as recomendações, os pesquisadores destacam a necessidade de aprimorar regras de detecção para domínios .arpa e padrões de DNS reverso IPv6, além de reforçar mecanismos como autenticação DMARC, SPF e DKIM. Também é indicado complementar a defesa com análise de conteúdo, sandboxing de links e treinamento contínuo de usuários para identificar e‑mails suspeitos.
Sistemas Afetados
- Gateways de e-mail corporativo
- Serviços de filtragem baseados em reputação de domínio
Fonte: BleepingComputer
Ler fonte original