Фишеры спрятали вредоносные ссылки в святая святых интернета — зону .arpa. Её нельзя блокировать, иначе рухнет DNS

Фишинговые рассылки давно стали рутиной, поэтому злоумышленникам приходится искать нестандартные ходы, чтобы обойти фильтры. В новых кампаниях исследователи обнаружили прием, о котором раньше публично не сообщалось: для размещения вредоносного контента используется доменная зона .arpa в связке с IPv6. Речь идет о техническом домене верхнего уровня, который изначально предназначен не для сайтов, а для служебных задач системы DNS, прежде всего для обратного сопоставления IP-адресов и доменных имен.

В обычной практике .arpa применяют для reverse DNS, когда по IP-адресу определяют связанное с ним имя. Например, для IPv6 используется пространство ip6.arpa. В этих кампаниях злоумышленники нашли особенность в механизмах управления DNS у некоторых провайдеров: им удается добавлять записи типа A для доменов в зоне .arpa, хотя такие домены по своей природе не должны использоваться для размещения веб-контента. Получив контроль над соответствующим диапазоном IPv6 и поддоменом .arpa, они фактически могут настроить хостинг как для обычного сайта.

В самих письмах нет ничего необычого: злоумышленники маскируются под крупные бренды и обещают бесплатный приз. Тело сообщения часто состоит только из изображения. В него встроена гиперссылка, которая ведет на вредоносный ресурс через цепочку редиректов и систему распределения трафика, TDS. Но главная особенность в том, что ссылка указывает не на привычный домен, а на строку обратного DNS, построенную из IPv6-адреса, например вида d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa.

Если бы пользователь увидел такой адрес в явном виде, он, скорее всего, насторожился бы. Но в письме он скрыт за картинкой. При нажатии устройство пытается разрешить домен .arpa. Поскольку эта зона критически важна для работы интернета, такие имена редко попадают в блок-листы. После первого перехода система анализирует устройство и параметры соединения жертвы, а затем при выполнении нужных условий перенаправляет ее дальше, пока она не окажется на фишинговой странице.

Чтобы схема работала, злоумышленнику нужен собственный диапазон IPv6, обычно /64, для которого делегируется управление соответствующим поддоменом .arpa. Вместо стандартных PTR-записей, используемых для обратного сопоставления, создаются записи типа A для этих имен. В расследовании упоминается злоупотребление инфраструктурой Hurricane Electric и Cloudflare, чья репутация дополнительно снижает вероятность блокировки. Тестирование показало, что некоторые другие DNS-провайдеры также допускают подобную конфигурацию. Обнаруженные пробелы были доведены до их сведения.

Технически злоумышленники строят домен, инвертируя последовательность нибблов IPv6-адреса и добавляя зону ip6.arpa, как того требует стандарт обратного DNS. Поскольку они контролируют только половину адреса в пределах /64, последние 64 бита могут игнорироваться. Чтобы усложнить обнаружение, к полученной строке добавляется случайный поддомен, из-за чего каждый FQDN становится уникальным.

Хотя reverse DNS предназначен исключительно для служебных целей, сама система DNS допускает нетривиальные конфигурации. При выполнении запроса типа A к такому имени серверы последовательно обращаются к авторитетным источникам, пока не находят нужные name server. В одном из случаев авторитетные серверы находились под управлением Cloudflare, и домен ip6.arpa в итоге разрешался в IP-адреса из сети Cloudflare, скрывая реальный хост с фишинговым содержимым.

Схема требует координированного использования двух сервисов. Во-первых, злоумышленнику нужен бесплатный IPv6-туннель, который инкапсулирует IPv6-трафик в IPv4. Сам туннель при этом может вообще не использоваться для передачи данных, он нужен лишь как способ получить административный доступ к диапазону IPv6. Во-вторых, требуется DNS-провайдер, который позволит назначить авторитетные серверы для .arpa-домена. Если провайдер блокирует такую попытку или запрос не проходит, атака невозможна.

Использование .arpa — лишь часть набора приемов. В тех же кампаниях фиксировались захваты висячих CNAME-записей, то есть ссылок на истекшие домены или заброшенные облачные сервисы. В ряде случаев злоумышленники получали контроль над поддоменами известных госорганов, университетов, телеком-компаний, СМИ и ритейлеров. Часть таких CNAME уже упоминалась в отчетах в августе 2024 года, остальные ранее публично не фигурировали. Также встречались случаи domain shadowing, когда поддомен создается через украденные учетные данные и используется для перенаправления.

Некоторые домены давали злоумышленникам доступ сразу к множеству записей. Например, после истечения срока действия publicnoticessites[.]com, который обслуживал более 120 сайтов местных газет, покупка этого домена позволила получить контроль над всеми CNAME, ссылавшимися на него, включая 8, использованных в фишинге. Похожая ситуация произошла с hobsonsms[.]com, обслуживавшим аккаунты как минимум 3 университетов через один поддомен. Даже крупные компании оказались уязвимы: домен hyfnrsx1[.]com с CNAME для глобальных брендов в сфере продуктов питания истек и затем фигурировал в фишинговых рассылках с января 2026 года.

Сами письма остаются простыми. Обычно это изображение с обещанием «бесплатного подарка» за прохождение опроса. Дальше предлагается ввести данные банковской карты для оплаты доставки. В других вариантах сообщается о приостановке подписки или превышении квоты в облаке. После клика жертва попадает в TDS, где анализируется тип устройства и IP-адрес. Наблюдения показывают, что мобильное устройство и резидентский IP повышают шанс пройти фильтр. Если параметры не подходят, пользователь получает HTTP-ошибку или перенаправляется на безобидный ресурс вроде TikTok.

Дополнительная сложность для расследования в том, что ссылки активны всего несколько дней. После этого они либо ведут на страницу отписки, либо возвращают ошибку вне зависимости от параметров трафика. Это затрудняет повторное воспроизведение атаки.

Использование .arpa в качестве канала доставки — новый ход именно потому, что он задействует инфраструктуру, которой по умолчанию доверяют. Механизмы фильтрации, опирающиеся на репутацию домена, регистрационные данные или стандартные блок-листы, здесь малоэффективны. У таких имен нет привычной истории регистрации, и они не считаются подозрительными по умолчанию. По состоянию на момент наблюдений запросы к этим доменам не фиксировались в трафике клиентов, однако в глобальной пассивной DNS-инфраструктуре отмечались обращения к множеству IPv6- и IPv4-доменов обратного разрешения, включая те, что использовались в рассылках.