Nouvelles campagnes de phishing utilisent l'espace de noms de domaine réservé

(MENAFN- Mid-East Info) De nouvelles recherches d’Infoblox Threat Intel révèlent comment des criminels manipulent une partie essentielle d’Internet pour contourner de nombreux contrôles de sécurité actuels.

DUBAI, ÉAU, février 2026 – Les attaques de phishing sont partout, mais historiquement, leurs tactiques suivent des schémas et tendances clairs. Une étude d’Infoblox Threat Intel met en lumière une anomalie : une nouvelle méthode utilisée par des cybercriminels pour cibler leurs victimes. Les campagnes malveillantes utilisent une méthode nouvelle, jusqu’ici non rapportée, pour contourner les contrôles de sécurité : l’abus d’une partie de l’espace de noms de domaine réservée à l’infrastructure Internet pour diffuser du phishing via du spam. Les acteurs créent des tunnels IPv6 puis utilisent des enregistrements DNS inverses pour héberger des sites frauduleux. C’est une voie d’attaque déroutante, mais tout aussi efficace, car ces enregistrements DNS, hébergés dans le domaine de premier niveau, sont peu susceptibles d’être détectés par les produits de sécurité.

Contrairement aux TLD familiers tels que .com ou .org, qui sont utilisés pour le contenu web, .arpa joue un rôle particulier dans le système de noms de domaine (DNS). Il est principalement utilisé pour faire correspondre des adresses IP à des domaines, en fournissant des enregistrements DNS inverses – et non pour héberger des sites web. Les acteurs malveillants ont découvert une fonctionnalité dans certains contrôles de gestion des enregistrements DNS qui leur permet d’ajouter des enregistrements d’adresses IP pour des domaines, puis d’héberger librement du contenu malveillant derrière cette infrastructure. Ensuite, ils acquièrent un tunnel IPv6 gratuit pour obtenir un grand nombre d’adresses IP à utiliser dans leurs campagnes. Les tunnels IPv6 ne sont pas non plus destinés à cela ! Ils sont conçus pour faciliter le transit sur Internet lorsque seul un équipement IPv4 legacy est disponible.

« Lorsqu’on voit des attaquants abuser de cette manière, ils exploitent le cœur même d’Internet », a déclaré le Dr Renée Burton, vice-présidente d’Infoblox Threat Intel. « L’espace DNS inversé n’a jamais été conçu pour héberger du contenu web, donc la plupart des systèmes de défense ne le considèrent même pas comme une surface de menace potentielle. En le transformant en mécanisme de livraison pour le phishing, ces acteurs contournent efficacement les contrôles traditionnels basés sur la réputation du domaine ou la structure de l’URL. Les défenseurs doivent commencer à considérer l’infrastructure DNS elle-même comme un bien immobilier de grande valeur pour les attaquants, et ils doivent avoir la visibilité nécessaire pour repérer tout abus, quel que soit l’emplacement. »

Les emails de phishing observés dans ces campagnes usurpent l’identité de grandes marques et promettent des « cadeaux gratuits » ou des prix. Les messages contiennent une seule image dissimulant un hyperlien intégré, envoyant les victimes via des systèmes de distribution de trafic (TDS) vers des sites frauduleux. Pendant ce temps, l’URL visible ne révèle jamais les chaînes DNS inverses étranges que les attaquants utilisent.

Pièces jointes :

Infographie : Vue d’ensemble du processus utilisé pour abuser du TLD dans les emails de phishing

Photographie : Dr Renée Burton, vice-présidente d’Infoblox Threat Intel

À propos d’Infoblox Threat Intel :

Infoblox Threat Intel est le principal créateur d’intelligence de menace DNS originale, se distinguant dans un océan d’agrégateurs. Qu’est-ce qui nous différencie ? Deux choses : d’excellentes compétences en DNS et une visibilité sans précédent. Le DNS est notoirement difficile à interpréter et à traquer, mais notre compréhension approfondie et notre accès unique aux mécanismes internes d’Internet nous permettent de repérer des acteurs malveillants que d’autres ne peuvent voir. Nous sommes proactifs, pas seulement défensifs, en utilisant nos insights pour perturber la cybercriminalité dès son origine. Nous croyons aussi en la diffusion des connaissances pour soutenir la communauté de la sécurité en publiant des recherches détaillées et en partageant des indicateurs sur GitHub. De plus, nos renseignements sont intégrés de manière transparente dans nos solutions de détection et de réponse DNS d’Infoblox, permettant à nos clients de bénéficier automatiquement de ses avantages, avec des taux de faux positifs ridiculement faibles.

À propos d’Infoblox :
Infoblox unit le réseautage, la sécurité et le cloud pour former une plateforme opérationnelle aussi résiliente qu’agile. Reconnue par plus de 6 000 clients, dont 92 des Fortune 100, notre plateforme intègre, sécurise et automatise sans effort les services réseau critiques, permettant aux entreprises d’avancer rapidement sans compromis.