Nas últimas semanas pesquisadores de segurança descobriram uma campanha de phishing que se apropria de um canto pouco habitual da Internet para esconder suas armadilhas: o domínio especial .arpa, usado historicamente para infraestrutura de rede e pesquisas inversas de DNS. Longe de ser um site comum, .arpa não está pensado para alojar conteúdos visíveis ao utilizador, mas para permitir que um endereço IP se traduza de volta a um nome de host; no entanto, os atacantes encontraram formas criativas de explorar essa funcionalidade para contornar controles e passar despercebidos.
Para entender por que isso é problemático basta lembrar como funciona a busca inversa: enquanto uma consulta habitual resolve um nome de domínio a um IP, a busca inversa — mediante zonas comoin- addr.arpapara IPv4 eip6.arpapara IPv6 – transforma um endereço IP em uma cadeia de etiquetas que aponta para um PTR que normalmente indica o nome de host associado. A documentação oficial sobre o propósito do espaço .arpa está disponível em IANA, que descreve seu papel na infraestrutura da Internet: https://www.iana.org/domains/arpa. Além disso, provedores de conteúdo e operadores de DNS explicam como funcionam as buscas inversas em termos práticos, por exemplo no guia Cloudflare sobre DNS inverso: https://www.cloudflare.com/learning/dns/dns-records/dns-reverse-lookup/.
A armadilha observada por pesquisadores como os de Infoblox consiste em aprovisionamento blocos de endereços IPv6 — muitas vezes através de serviços de tunelização como Hurricane Electric Tunnelbroker — e depois tomar controle da zona de DNS inverso para essa porção de espaço. Uma vez que o ator malicioso administra essa área, alguns painéis de gestão de DNS permitem criar tipos de registro distintos do clássico PTR; os atacantes aproveitam precisamente essa permissividade para definir registros A que apontam para infraestrutura de phishing.
O efeito prático é inquietante: em vez de um domínio registrado em um registro público com WHOIS, antiguidade e métricas que as passarelas antiphishing costumam analisar, o link incorporado em um e-mail pode apontar para um nome derivado do endereço IPv6 dentro deip6.arpa. Ao estar o URL escondido numa imagem ou num elemento visual do correio, muitas vítimas não veem o endereço completo; ao clicar, o navegador resolve o nome na zona inversa controlada pelo atacante e se redirecione através de uma plataforma de distribuição de tráfego (TDS). Se o visitante cumprir certos critérios — por exemplo, tipo de dispositivo, país ou referer — é enviado para o site de phishing; se não, remete para conteúdos legítimos ou erros, o que complica ainda mais o acompanhamento e a detecção forense.
Os atacantes também recorreram a fornecedores com boa reputação Para alojar as zonas autoritativas, o que lhes dá uma camada extra de legitimidade frente a sistemas automatizados que confiam na reputação do fornecedor. O Infoblox documentou casos em que foram utilizados serviços de operadores respeitados como a Hurricane Electric ou mesmo a Cloudflare para publicar registos autoritativos que terminavam resolvendo infra-estruturas intermediárias e ocultavam a localização real do backend.
Outra peça do quebra-cabeça é a curta vida útil dos links maliciosos: eles geralmente estão ativos apenas alguns dias antes de cair ou redirecionar sites inocuos. Esse comportamento reduz as janelas de observação e dificulta que os pesquisadores e as ferramentas de bloqueio construam assinaturas eficazes. Em paralelo, os atacantes combinaram esta técnica com outras conhecidas, como o sequestro de CNAME esquecidos - o que Infoblox descreveu em investigações prévias - e o fenômeno conhecido como subdomain shadowing, que permite empurrar conteúdos maliciosos a subdomínios vinculados a organizações legítimas.
Do ponto de vista dos defensores, há duas razões que tornam este abuso particularmente preocupante. Primeiro, os domínios dentro de .arpa não contém a metadata de registro habitual (WHOIS, antiguidade ou contatos), pelo que as passarelas de correio que baseiam parte da sua avaliação nessa informação têm menos alavancas de identificação. Segundo, a própria mecânica de delegação reversa e as regras de alguns painéis de DNS permitem que sejam publicados tipos de registros inesperados dentro de áreas de infraestrutura, algo que os atores maliciosos exploram.
Nem tudo está perdido: há medidas tanto a nível usuário quanto a nível operacional que reduzem o risco. Para as pessoas, a regra básica continua a ser válida e urgente: não clicar em links inesperados em e-mails e, quando necessário aceder a um serviço, escrever o URL oficial ou usar favoritos e aplicações oficiais. Para equipes de segurança e administradores, convém rever as delegações de DNS inverso nos blocos que controlam, exigir aos fornecedores de túneis e de DNS que restrinjam os tipos de registros permitidos em zonas reversas e monitorar padrões de resolução incomuns para áreas .arpa. Também é recomendável que as soluções de filtragem e passarelas de correio incluam controles específicos para detectar e analisar ligações sobip6.arpae que haja coordenação com os provedores de DNS quando se observem abusos.
A comunidade de segurança já começou a alertar e a comunicar resultados a fornecedores e operadores para fechar lacunas operacionais. Os artigos do Infoblox sobre este abuso e suas pesquisas prévias sobre CNAMEs suspensas são um bom ponto de partida para quem quiser aprofundar: Abusing .arpa e Cloudy with a chance of hijacking (Infoblox). Para entender riscos relacionados como o subdomain shadowing, a análise de Proofpoint é esclarecedor: The Shadow Knows (Proofpoint).
No final, a lição é clara: as peças mais técnicas da Internet – as quais foram historicamente feitas – podem se tornar vetores de ataque quando a visibilidade e as regras operacionais não são as adequadas. Os atacantes estão procurando os espaços "quietos" da rede onde as regras de confiança funcionam a seu favor, e a defesa requer tanto práticas de higiene digital por parte dos usuários como ajustes de política e vigilância mais fino por parte dos operadores e fornecedores.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...