Phishing

Manipolazione DNS nel TLD .ph: trasformazione degli errori di navigazione in potenziali vettori di attacco

1. Introduzione

Nel panorama delle minacce infrastrutturali sta emergendo una già nota logica di abuso del Domain Name System: alcuni operatori non si limitano più a monetizzare domini inattivi, ma alterano deliberatamente la risposta del DNS, trasformando tutti i domini non ancora registrati in superfici di monetizzazione e potenziali vettori di attacco.

Il ccTLD .ph offre chiaro esempio di wildcard DNS abuse: non si tratta dello sfruttamento di una vulnerabilità software, ma di una riconfigurazione intenzionale del comportamento DNS tramite record wildcard applicati a livello di Top Level Domain.

Gli standard RFC prevedono che una query verso un dominio inesistente restituisca una risposta NXDOMAIN. Il wildcard implementato sul TLD .ph intercetta invece qualsiasi query verso domini non registrati e la reindirizza verso infrastrutture di domain parking e zero-click monetization. Dal punto di vista del resolver, il dominio risulta formalmente esistente; dal punto di vista dell’utente, un errore di digitazione o una richiesta casuale possono tradursi in redirect verso reti pubblicitarie opache, contenuti indesiderati o infrastrutture potenzialmente malevole.

Il rischio più rilevante non è la monetizzazione del traffico «errato» in sé, ma la perdita della distinzione tecnica tra dominio valido e dominio inesistente, proprietà fondamentale per meccanismi di sicurezza, filtering e validazione applicativa. Sistemi antispam, resolver e strumenti di threat detection trattano infatti NXDOMAIN come un’informazione affidabile: il wildcard a livello TLD invece invalida tale condizione, con effetti collaterali che si propagano ben oltre la semplice navigazione web.

Per analizzare operativamente lo scenario è stata condotta una serie di verifiche tecniche su domini .ph generati casualmente e mai registrati, osservando il comportamento delle risposte DNS, delle infrastrutture di redirect e delle piattaforme di monetizzazione coinvolte. Ne emerge un ecosistema in cui le query inesistenti vengono sistematicamente convertite in traffico monetizzabile attraverso reti pubblicitarie di terze parti, con standard qualitativi inferiori rispetto ai modelli convenzionali di domain parking.

L’elemento più significativo è la sovrapposizione di due piani che dovrebbero rimanere separati: monetizzazione DNS e distribuzione di contenuti potenzialmente dannosi. In questo modello il DNS non funziona più soltanto come meccanismo di risoluzione, ma come un’infrastruttura di instradamento commerciale, capace di reindirizzare automaticamente gli utenti e le applicazioni verso destinazioni pubblicitarie talvolta non sicure. Il risultato, di fatto, è una superficie di attacco estesa, persistente e difficilmente distinguibile dal normale comportamento della rete.

2. Proof of Concept

Per dimostrare il comportamento descritto abbiamo generato una stringa di 63 caratteri priva di qualsiasi valore semantico o commerciale e l’abbiamo sottoposta a interrogazione DNS e successiva navigazione controllata in ambiente isolato. 

 x31sr235awdawdwa2352sdhtfdsf4355yrudhwhsbmbfpq02n3rwefjnvcuasf1.ph

L’obiettivo è verificare che un dominio mai registrato, privo di record di zona e di qualsiasi valore, venga comunque risolto dal TLD e instradato verso la medesima infrastruttura di Domain Parking e Traffic Distribution System osservata sui domini campione analizzati.

manipolazione-dns_1

Risposta DNS

L’interrogazione DNS non restituisce, come previsto dagli standard RFC per un dominio inesistente, una risposta NXDOMAIN: la query viene risolta con un record A valido che punta all’indirizzo IP 45.79.222.138, associato all’host heather01.parklogic.com sull’AS63949 di Akamai, ovvero il medesimo endpoint di ingresso del Traffic Distribution System già osservato sui domini campione.

Il TTL impostato a 86.299 secondi (prossimo alle 24 ore), indica una configurazione wildcard stabile e progettata per essere memorizzata a lungo dai resolver intermedi, massimizzandone quindi la persistenza in rete anche in caso di abbattimento.

I name server rilevati nella sezione Authority, 1.ns.ph, ns4.apnic.net, ns2.cuhk.edu.hk, ph.communitydns.net confermano che il record wildcard non è inserito solo a livello di singolo dominio o provider di terze parti, ma è configurato direttamente nella zona DNS del TLD .ph.

Catena HTTP e Traffic Distribution System

Al fine di documentare il comportamento a cui viene esposta una sessione utente abbiamo ripercorso e tracciato tutti gli step proposti dal sistema di Traffic Distribution System.

Navigando il dominio x31sr235awdawdwa2352sdhtfdsf4355yrudhwhsbmbfpq02n3rwefjnvcuasf1.ph, viene caricato lo script bouncy.php appartenente alla società ParkLogic Pty Ltd (Australia), una piattaforma legittima specializzata nei servizi di monetizzazione e Domain Parking.

manipolazione-dns_2

Analizzando il contenuto presente nel parametro bpae= e decodificando il payload in Base64, è stato possibile isolare la firma “19b846b7”. I primi due byte della firma (19 e b8) risultano identici su tutti gli altri domini della stessa natura, testati dal nostro servizio di Cyber Threat Intelligence, rendendo solida l’attribuzione di un campaign ID univoco generato da ParkLogic per l’intero pool di domini associati al wildcard del TLD .ph.

manipolazione-dns_3

Il server non emette un redirect HTTP convenzionale di tipo 3xx, ma risponde con un payload HTTP 200 OK di tipo text/html contenente uno script JavaScript già popolato con la destinazione scelta lato server per la sessione corrente.

manipolazione-dns_4

Questa scelta architetturale aumenta la difficoltà di correlazione delle richieste HTTP per strumenti a bassa sofisticazione, ancora oggi diffusi nel panorama delle infrastrutture difensive, mentre l’esecuzione client-side rende non ispezionabile la catena agli scanner privi di emulazione dinamica.

Infrastruttura di destinazione

Il dominio di destinazione click-v4.exmainclcknew.com risulta associato a una famiglia di domini exmainclck*, potenzialmente riferibili a un sistema di tipo Domain Rotation che operano sull’indirizzo IP 198.134.116.17 associato all’organizzazione AdKernel LLC – Webair, New York. Un Reverse Lookup ha portato all’individuazione di altri due domini associati alla famiglia: exmainclck.com e exmainclckback.com.

Il dominio exmainclcknew.com risulta coinvolto in attività malevole secondo segnalazioni su VirusTotal.

manipolazione-dns_5

La destinazione finale della catena è apropthree.com/goruft/operagreen/index.php con parametri di tracking conformi alle piattaforme di reindirizzamento pubblicitario:

manipolazione-dns_6

Ulteriori tentativi di navigazione effettuati con differenti user-agent hanno fatto emergere altre categorie di destinazione, con l’obiettivo di indurre l’utente all’installazione di componenti lato browser e di presunti software per la pulizia del PC tipicamente riconducibili a tentativi di infezione malware.

Comportamento differenziato per IP filippini

Quando lo stesso dominio viene navigato attraverso un indirizzo IP filippino, l’analisi mostra un comportamento diverso. Il codice JavaScript restituito da bouncy.php presenta in questo caso la variabile addDetection = true (anziché false), un payload bpae= distinto e un forwardingUrl che non punta più alla famiglia exmainclck* bensì a una seconda istanza interna di bouncy.php.

manipolazione-dns_7

Il secondo hop espone la natura del comportamento differenziato: la variabile forwardingUrl punta a https://simcast.com/?d=[dominio]&pcid=48&rid=112&a=0.

manipolazione-dns_8

La destinazione finale è la landing simcast.com che ospita il portale HeadlineLogic, un lander pubblicitario di ParkLogic apparentemente privo di contenuti malevoli.

manipolazione-dns_9

Tuttavia, seppur il dominio simcast.com risulta segnalato come minaccia di phishing, Il sistema applica all’intera popolazione di utenti delle Filippine un percorso di monetizzazione diverso da quello previsto per il resto del mondo. La scelta suggerisce la volontà da parte del Registry filippino di servire contenuti non malevoli esclusivamente ai propri utenti nazionali.

La superficie di attacco: ordine di grandezza

Il numero di possibili sottodomini .ph che possono essere generati utilizzando ogni combinazione di lettere (a–z) e cifre (0–9) da uno a sessantatré caratteri (limite massimo per etichetta DNS, RFC 1035) è:

~1,15 × 1098

Per dare un riferimento più esaustivo, basti pensare che il numero stimato di atomi nell’universo osservabile è di circa 1080. Emerge pertanto che le combinazioni di nomi .ph superano gli atomi dell’universo di un fattore pari a un miliardo di miliardi.

3. Panorama Legislativo

L’ICANN e il suo Security and Stability Advisory Committee lo hanno affermato chiaramente già nel 2006 (SAC035) e ribadito nel 2008 (SAC045): i TLD non dovrebbero usare wildcard DNS.

Le ragioni sono tecniche e concrete:

  • Rompono i sistemi anti-spam basati su verifica DNS;
  • Compromettono il comportamento delle VPN;
  • Falsificano la distinzione tra errore e sito web esistente;
  • Le applicazioni di rete non distinguono un nome inesistente da uno raggiungibile.

Non è la prima volta che accade. Nel settembre 2003, VeriSign, all’epoca gestore dei TLD .com e .net, attivò un servizio chiamato SiteFinder: un wildcard che reindirizzava ogni dominio non registrato verso una pagina di ricerca monetizzata. La reazione fu immediata: gli operatori tecnici documentarono guasti a cascata su sistemi di posta, filtri antispam e applicazioni di rete. ICANN ordinò la disattivazione. VeriSign obbedì entro tre settimane. Il principio fu stabilito: i wildcard nei TLD destabilizzano l’ecosistema.

La differenza tra il 2003 e oggi è decisiva: ICANN aveva un contratto con VeriSign. Con i ccTLD come .ph, .fm, .la, .pw, .vg, .ws ICANN non ha quella leva. Può raccomandare. Non può ordinare.

Autorità competenti

dotPH gestisce il ccTLD nazionale filippino sin dalla delega IANA del 1990. Le autorità che eserciterebbero vigilanza sul comportamento documentato sono:

  • DICT (Department of Information and Communications Technology), politiche ICT e cybersecurity tramite NCERT-PH;
  • NTC (National Telecommunications Commission), regolatore delle telecomunicazioni;
  • DTI (Department of Trade and Industry), pratiche commerciali e tutela del consumatore.

Allo stato dell’arte, nessuna delle tre autorità ha adottato misure note in relazione alla pratica del wildcard né al modello di monetizzazione asimmetrica documentato.

ICANN ha pubblicato nel marzo 2026 il blog «ICANN Examines Parked Domains and Zero-Click Redirection», riconoscendo il fenomeno e avviando una fase di raccolta dati. Il documento precisa esplicitamente che si tratta di un approccio esplorativo, non regolatorio.

Nel dicembre 2025 Brian Krebs titola: Most Parked Domains Now Serving Malicious Content. Il caso .ph è la versione istituzionalizzata di questo fenomeno: non un dominio parcheggiato da un investitore privato, ma il registro nazionale di un paese sovrano che ha scelto di monetizzare ogni errore DNS dei propri utenti e degli utenti di tutto il mondo.

4. Contromisure

Sul piano tecnico

La soluzione tecnica è diretta: rimuovere il wildcard e restituire NXDOMAIN per i domini non registrati, come previsto dagli standard. Non richiede nuove leggi, nuovi trattati o nuove tecnologie.

Sul piano politico

  • ICANN potrebbe inserire clausole anti-wildcard negli accordi di rinnovo della delega dei ccTLD;
  • APNIC (registro internet Asia-Pacifico) potrebbe esercitare pressione tecnica regionale;
  • Le reti pubblicitarie che acquistano traffico wildcard potrebbero verificarne la provenienza.

Scenari di rischio

La configurazione attuale dell’infrastruttura filippina introduce una vulnerabilità strutturale ad alto impatto:

  • Sfruttamento da parte di Attori APT: Qualora un gruppo state-sponsored o un collettivo di cybercriminali decidesse di compromettere l’infrastruttura pubblicitaria legata all’indirizzo IP 45.79.222.138, potrebbe deviare istantaneamente enormi volumi di traffico verso infrastrutture malevole destinate alla compromissione dei dispositivi delle vittime.
  • Campagne di Phishing e Malware su Larga Scala: Gli attaccanti potrebbero sfruttare la risoluzione automatica dei domini non registrati per veicolare campagne massive di watering hole, distribuire malware o ospitare pagine di phishing su domini apparentemente legittimi.

In conclusione, finché il wildcard resterà attivo, il TLD .ph continuerà a essere, di fatto, un’infrastruttura di distribuzione globale in attesa di un operatore meno benevolo.