Phishing-Kampagnen missbrauchen .arpa-Domains: Neue Methode umgeht Sicherheitssysteme

Sicherheitsforscher haben Phishing-Kampagnen identifiziert, die eine bislang unbekannte Technik einsetzen: Statt herkömmlicher Domains verwenden die Angreifer Reverse-DNS-Einträge der TLD .arpa als Zieladressen für bösartige Links. Da diese Infrastruktur für den regulären Internetbetrieb vorgesehen ist und als implizit vertrauenswürdig gilt, greifen viele etablierte Schutzmaßnahmen ins Leere. Die Methode ist nicht nur technisch raffiniert – sie zeigt auch, wie Angreifer gezielt die Grenzen zwischen legitimer Netzwerkinfrastruktur und missbräuchlicher Nutzung verschieben.

Sicherheitsforscher von Infoblox haben Phishing-Kampagnen dokumentiert, die auf einer bislang nicht öffentlich beschriebenen Angriffsmethode basieren. Dabei instrumentalisieren die Täter die Top-Level-Domain .arpa – eine TLD, die im Domain Name System (DNS) ausschließlich für Infrastrukturzwecke vorgesehen ist und üblicherweise nicht zur Auflösung regulärer Webinhalte genutzt wird. Die Entdeckung wirft ein Schlaglicht auf eine strukturelle Schwachstelle im DNS-Ökosystem, die bislang weitgehend unbeachtet geblieben ist.

Anders als bekannte TLDs wie .com oder .net dient .arpa der sogenannten Reverse-DNS-Auflösung: Sie bildet IP-Adressen auf Domainnamen ab – nicht umgekehrt. Für IPv4-Adressen kommt dabei die Subdomain in-addr.arpa zum Einsatz, für IPv6-Adressen ip6.arpa. Dieses System ist ein grundlegendes Element des Internets und wird unter anderem für die Verifizierung von Mailservern, Netzwerkdiagnosen und die Nachverfolgung von Verbindungen eingesetzt. Dass es als Vehikel für Phishing-Kampagnen genutzt werden kann, war bislang nicht bekannt.

Technischer Aufbau des Angriffs

Der Angriff setzt auf ein koordiniertes Zusammenspiel zweier Dienste. Im ersten Schritt erwerben die Täter kostenlosen IPv6-Adressraum über sogenannte Tunneldienste – Dienste, die IPv6-Datenverkehr über bestehende IPv4-Verbindungen transportieren. Hurricane Electric ist einer der bekanntesten Anbieter solcher Tunnel und stellt sie kostenlos zur Verfügung. Mit der Zuteilung eines IPv6-Adressbereichs erhalten die Nutzer automatisch auch die administrative Kontrolle über die zugehörige .arpa-Subdomain im DNS – ein technisch vorgesehener Mechanismus, der die eigenständige Verwaltung der Reverse-DNS-Einträge ermöglichen soll.

Anstatt dort – wie vorgesehen – PTR-Einträge für die Reverse-Auflösung zu hinterlegen, legen die Angreifer A-Einträge an. Diese Eintragsart ordnet üblicherweise einem Domainnamen eine IP-Adresse zu und ist in Reverse-DNS-Zonen technisch nicht vorgesehen. Verschiedene DNS-Anbieter lassen diese Konfiguration dennoch zu – entweder aus mangelnder Validierung oder weil die Eintrags­verwaltung keine Unterscheidung zwischen regulären Domains und .arpa-Zonen vornimmt. In den untersuchten Kampagnen wurden sowohl Hurricane Electric als auch Cloudflare auf diese Weise missbraucht. Beide Unternehmen genießen einen guten Ruf, was die Einträge für Sicherheitslösungen zusätzlich unverdächtig erscheinen lässt.

Als Ergebnis dieses Vorgehens entsteht eine Adresse wie:

d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa

Der lange, technisch wirkende String basiert auf der umgekehrten Darstellung der zugeteilten IPv6-Adresse, ergänzt um eine zufällig generierte Subdomain, die jede verwendete Adresse einzigartig macht und eine gezielte Blockierung einzelner Einträge erschwert. Da die Angreifer einen /64-Adressbereich kontrollieren, können die hinteren 64 Bits der Adresse variabel gesetzt werden – der Vorrat an möglichen Domains ist damit praktisch unbegrenzt.

Grafik Quelle: Infoblox

Einbettung in die Phishing-E-Mail

Diese Adressen werden in den Phishing-E-Mails nicht als sichtbarer Text angezeigt, sondern als versteckte Hyperlinks hinter Bildern eingebettet. Die Empfänger sehen lediglich ein Bild – beispielsweise eine Werbegrafik, die einen Gratisgewinn verspricht – ohne die eigentliche Zieladresse zu erkennen. Wird auf das Bild geklickt, löst das Gerät des Nutzers die .arpa-Domain regulär auf. Da die zugehörigen Nameserver von Cloudflare betrieben werden, landet die Anfrage im Edge-Netzwerk des Anbieters, das den tatsächlichen Ursprungsserver verbirgt. Das Opfer wird dann in mehreren Schritten über ein Traffic Distribution System (TDS) weitergeleitet, bis es auf der eigentlichen Phishing-Seite ankommt.

Für einen technisch versierten Nutzer, der den Link prüft, würde die ungewöhnliche Adressstruktur zwar auffallen. In der Praxis ist jedoch davon auszugehen, dass die große Mehrheit der Empfänger solche Details nicht beachtet – zumal die Domain in den meisten E-Mail-Clients und mobilen Browsern nicht prominent angezeigt wird.

Grafik Quelle: Infoblox

Grafik Quelle: Infoblox

Grafik Quelle: Infoblox

Warum Sicherheitsmechanismen versagen

Die eigentliche Stärke dieser Methode liegt in ihrer Wirkung auf automatisierte Sicherheitssysteme. Herkömmliche Schutzlösungen bewerten Domains anhand verschiedener Faktoren: der Registrierungshistorie, dem Alter der Domain, WHOIS-Informationen, Reputationsdaten aus Bedrohungsfeeds und Policy-Blocklisten. Für .arpa-Domains greifen diese Mechanismen nicht oder kaum.

Reverse-DNS-Domains haben keine Registrierungsinformationen im herkömmlichen Sinne – sie werden nicht bei einer Registrierungsstelle angemeldet, sondern aus der IP-Adresse abgeleitet. Entsprechend gibt es keine WHOIS-Daten, keine Registrierungsdaten und keine Eigentümerangaben, die eine Bewertung erlauben würden. Da .arpa für den Betrieb des Internets unverzichtbar ist, werden diese Domains in aller Regel auch nicht durch Richtlinien blockiert – eine solche Sperrung würde legitimen Netzwerkbetrieb beeinträchtigen. Das Ergebnis ist eine implizit saubere Reputationseinstufung, die Sicherheitssysteme faktisch blind für diese Art von Missbrauch macht.

Die Forscher betonen, dass sie bislang keine entsprechenden Anfragen im produktiven Kundendatenverkehr beobachtet haben. Im globalen passiven DNS-Monitoring seien jedoch zahlreiche Anfragen an solche Domains registriert worden – darunter solche, die direkt mit den untersuchten Phishing-Kampagnen in Verbindung stehen.

Dangling CNAMEs: Ein weiteres, unterschätztes Problem

Parallel zur .arpa-Technik setzen dieselben Kampagnen auf eine zweite, ebenfalls wirkungsvolle Methode: den Missbrauch sogenannter Dangling CNAMEs. Dabei handelt es sich um DNS-Einträge, die auf Domains oder Cloud-Dienste verweisen, die nicht mehr existieren oder deren Registrierung abgelaufen ist. Wenn eine Organisation einen CNAME-Eintrag anlegt, der auf eine externe Domain zeigt – etwa einen Dienstleister oder eine Cloud-Ressource –, und diese Domain später wegfällt, ohne dass der verweisende Eintrag entfernt wird, kann ein Dritter durch Registrierung der abgelaufenen Domain die Kontrolle über die entsprechende Subdomain übernehmen.

Die Forscher haben über 100 solcher Fälle dokumentiert. Betroffen sind Subdomains von Regierungsbehörden, Universitäten, Telekommunikationsanbietern, Medienunternehmen und Einzelhändlern. Die Bandbreite zeigt, dass das Problem keine bestimmte Branche oder Organisationsgröße bevorzugt.

Besonders deutlich wird das Schadenspotenzial an zwei konkreten Beispielen: Die Domain publicnoticessites[.]com betrieb öffentliche Bekanntmachungen für über 120 lokale Zeitungswebsites. Nachdem die Domain abgelaufen war, erwarb ein Angreifer sie und erhielt damit automatisch Zugriff auf alle CNAMEs, die noch auf sie verwiesen – acht davon wurden anschließend in Phishing-E-Mails eingesetzt. Ein ähnlicher Fall betrifft hobsonsms[.]com, über die Kontodienste für mindestens drei Universitäten liefen. Durch Registrierung einer einzigen Subdomain konnte der Angreifer alle drei kapern. Selbst global tätige Lebensmittel- und Getränkeunternehmen waren betroffen: CNAMEs, die über die inzwischen abgelaufene Domain hyfnrsx1[.]com liefen, wurden ab Januar 2026 in Phishing-Kampagnen beobachtet.

Ergänzend wurden Fälle von Domain Shadowing dokumentiert: Dabei legen Angreifer durch gestohlene Zugangsdaten eigenständige Subdomains unter fremden, etablierten Domains an. Eine solche Shadow-Subdomain war den Forschern zufolge seit 2020 in Betrieb – offenbar ohne entdeckt zu werden. Einige der beobachteten Dangling CNAMEs wurden an einzelnen Tagen in über 100 verschiedenen Phishing-E-Mails eingesetzt.

Aufbau und Ablauf der Phishing-Kampagnen

Die E-Mails selbst sind bewusst schlicht gehalten. Sie bestehen in der Regel aus einem einzelnen Bild mit eingebettetem Hyperlink, der die eigentliche Zieladresse verbirgt. Die eingesetzten Köder folgen bekannten Mustern: Versprechen eines Gratispreises für die Teilnahme an einer Umfrage – verbunden mit der Bitte, eine Kreditkarte für angebliche Versandkosten zu hinterlegen –, Hinweise auf unterbrochene Abonnements oder Meldungen über überschrittene Cloud-Speicher-Kontingente.

Nach dem Klick auf das Bild werden Nutzer über ein Traffic Distribution System weitergeleitet. Jede Station in der Weiterleitungskette führt eigene Überprüfungen durch: Wer die gesetzten Kriterien nicht erfüllt, landet auf einer harmlosen Seite oder erhält eine Fehlermeldung. Wer sie erfüllt – in beobachteten Fällen begünstigte die Kombination aus mobilem Gerät und privater IP-Adresse eine Weiterleitung – gelangt nach mehreren Zwischenschritten auf die eigentliche Phishing-Seite, auf der persönliche und finanzielle Daten abgegriffen werden sollen.

Die Gültigkeitsdauer der eingesetzten Links ist eng begrenzt: Nach wenigen Tagen liefern sie unabhängig vom Datenverkehr nur noch generische Abmeldeseiten oder Fehlermeldungen. Diese kurze Lebensdauer erschwert sowohl die nachträgliche Analyse als auch den Aufbau von Reputationsdaten in Bedrohungsdatenbanken. Das zugrundeliegende Toolkit wird nach Einschätzung der Forscher bereits seit mindestens 2017 von mehreren Akteuren genutzt, was auf eine etablierte, arbeitsteilig organisierte Infrastruktur hindeutet.

Einordnung und Empfehlungen

Der Missbrauch der .arpa-TLD ist kein isoliertes technisches Kuriosum. Er illustriert, wie Angreifer gezielt nach Strukturen suchen, die aufgrund ihrer Rolle im Netzwerkbetrieb als vertrauenswürdig eingestuft werden – und diese Einschätzung als Schutzschild nutzen. Kombiniert mit etablierten Techniken wie Dangling CNAMEs und Domain Shadowing entsteht ein Angriffsrahmen, der mehrere Schutzschichten gleichzeitig unterläuft.

Organisationen wird empfohlen, ihre DNS-Einträge regelmäßig auf verwaiste CNAMEs zu prüfen und abgelaufene externe Domains, auf die eigene Einträge verweisen, entweder zu erneuern oder die entsprechenden DNS-Einträge zu entfernen. Vor einer pauschalen Sperrung von .arpa-Domains oder betroffenen Subdomains legitimer Organisationen ist hingegen Vorsicht geboten, da dies den regulären Netzwerkbetrieb beeinträchtigen kann.

Indikatoren für die beschriebenen Kampagnen sind im öffentlichen GitHub-Repository von Infoblox Threat Intel verfügbar. Die Forscher haben die betroffenen DNS-Anbieter über die identifizierten Konfigurationslücken informiert.

Mehr Lesestoff:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk