Relatório da Infoblox aponta novas técnicas e abordagens usadas por cibercriminosos para burlar sistemas de segurança; empresas precisam integrar proteção de DNS e investir na tecnologia o mais rápido possível.
As ameaças DNS (Domain Name System) voltaram a ocupar o centro das atenções das equipes de segurança — e com razão. O DNS é a “agenda telefônica” da internet: traduz nomes humanos em endereços IP e, por isso, funciona como vetor privilegiado para campanhas de phishing, distribuição de malware, exfiltração de dados e operações de comando e controle.
Quando atores maliciosos controlam a resolução de nomes ou conseguem camuflar domínios maliciosos entre domínios legítimos, eles obtêm escala, mobilidade e uma redução significativa da visibilidade frente às defesas tradicionais.
O Relatório sobre o Panorama de Ameaças DNS 2025, lançado recentemente pela empresa líder de mercado Infoblox, consolida uma telemetria em larga escala e oferece um retrato preocupante — porém útil — das tendências e das táticas que os defensores precisam encarar desde já.
Empilhamento de domínios maliciosos
Os dados apresentados no relatório descrevem um ambiente de ataque em rápida renovação. No período analisado foram observados dezenas de milhões de novos domínios, com uma parcela relevante classificada como maliciosa ou suspeita.
A difusão massiva de registros de domínios revela uma estratégia clara: inundar o ecossistema com infraestrutura descartável que pode ser ativada, rotacionada e deixada de lado antes que defesas reativas se consolidem.
Paralelamente, a telemetria agregada pela Infoblox, baseada em bilhões de consultas DNS diárias, permitiu mapear centenas de agentes de ameaça distintos e dezenas de milhares de clusters de domínios suspeitos, o que demonstra tanto a escala quanto a fragmentação dos operadores maliciosos.
Uma nova abordagem de ataque
Uma das conclusões mais inquietantes do estudo é a alta fragmentação dos artefatos de ameaça: a maioria dos domínios ligados a atividades maliciosas foi observada apenas em um ambiente de cliente. Isso tem implicações práticas profundas. Ferramentas que dependem de reputação global ou de listas negras compartilhadas perdem eficácia quando cada vítima enxerga uma “versão” diferente da infraestrutura maliciosa.
O modelo reativo — detectar, analisar e então distribuir bloqueios — torna-se insuficiente num cenário em que ataques são frequentemente localizados, efêmeros e altamente personalizados. Em outras palavras, a defesa precisa ser tanto proativa quanto contextualizada ao ambiente que está protegendo.
O uso de adtechs e, claro, inteligência artificial
Duas táticas destacam-se pelo crescimento e sofisticação: a combinação de adtechs maliciosas com sistemas de distribuição de tráfego (TDS), e o uso de inteligência artificial para potencializar a engenharia social.
Adtechs maliciosas operam numa zona cinzenta entre publicidade legítima e exploração; rotacionam domínios em massa e encadeiam redirecionamentos via TDS para mascarar origem e destino do tráfego. Esse encadeamento dificulta a atribuição e a aplicação de bloqueios baseados em regras estáticas, porque a cadeia de redirecionamento pode ser alterada em segundos.
Já a IA — incluindo ferramentas que automatizam geração de conteúdo convincente — eleva a eficácia de campanhas de phishing e de fraude ao permitir mensagens altamente personalizadas, deepfakes e automação de interações maliciosas, o que aumenta a probabilidade de sucesso mesmo contra usuários mais treinados.
A automatização também permeia o próprio ciclo de vida dos domínios maliciosos. Atores ofensivos usam processos automatizados para registrar, configurar e ativar domínios em massa, hospedando páginas de phishing, distribuindo malware e operacionalizando fraudes financeiras.
Essa automação reduz o tempo entre intenção e execução, criando janelas de vida curtíssimas para artefatos maliciosos — tempo insuficiente para muitas abordagens forenses tradicionais. Nesse contexto, soluções que apenas reagem a incidentes conhecidos ficam cronicamente defasadas.
Velhos truques, novos resultados
Enquanto as táticas evoluem, técnicas consagradas continuam a ser exploradas e refinadas. Tunelamento DNS para exfiltração de dados, uso de DNS para canais de comando e controle e a utilização de frameworks de intrusão permanecem ativos e, muitas vezes, sofisticados.
A persistência dessas técnicas indica uma maturidade operacional dos agentes de ameaça, que sabem explorar a criticidade do DNS para burlar perímetros e evadir detecções que se baseiam apenas no tráfego HTTP/S ou em assinaturas estáticas.
E agora, o que fazer?
Frente a esse quadro, a recomendação estratégica que emerge é clara: priorizar segurança preventiva e inteligência preditiva no nível DNS. Bloquear consultas maliciosas na própria resolução — antes que atinjam endpoints — reduz drasticamente a superfície de dano.
Complementar essa proteção com detecção comportamental, enriquecimento de telemetria e mecanismos de automação para resposta imediata cria uma camada de defesa que atua na origem da ameaça. Essa combinação amplia muito a capacidade de interromper cadeias de ataque que, de outra forma, se apoiariam na resolução de nomes para iniciar ou orquestrar ações.
No entanto, é preciso temperar essa recomendação com realismo operacional. Investir em segurança DNS não é simplesmente adquirir uma nova ferramenta que “faz tudo”: há desafios de governança e operação.
Distinguir publicidade legítima de adtech maliciosa sem romper modelos comerciais, calibrar algoritmos de machine learning para reduzir falsos positivos que impactem a disponibilidade, e estabelecer fluxos de trabalho que integrem sinais DNS com outras camadas de telemetria são tarefas complexas.
Além disso, a fragmentação dos artefatos torna urgente a consolidação de telemetria agregada e o estabelecimento de padrões para troca de inteligência acionável entre provedores, fornecedores e clientes.
Integrando DNS na infraestrutura de segurança
A integração entre proteção DNS e controles mais amplos de segurança é outro ponto crítico. Ferramentas de bloqueio precisam conversar com sistemas de resposta e orquestração, com soluções EDR/XDR e com processos de investigação — para que um bloqueio preventivo não gere um “falso positivo” que interrompa negócios, nem deixe de alimentar investigações que poderiam revelar comprometimentos mais profundos.
Do ponto de vista custo-benefício, a proteção DNS representa uma alavanca de alto retorno. Impedir que uma consulta maliciosa seja resolvida evita o download de um payload, o estabelecimento de um canal de comando e controle e a exposição inicial que pode levar a um incidente muito mais caro.
Em ambientes regulados ou com alto valor de dados, essa prevenção pode significar a diferença entre um incidente contido e uma violação com custos reputacionais e financeiros significativos.
Invista antes que seja tarde!
Em resumo, o panorama apresentado pelo relatório de 2025 é, ao mesmo tempo, um aviso e um roteiro. O aviso documenta como automação, adtechs maliciosas, TDS e IA ampliam e sofisticam os riscos; o roteiro aponta direções práticas: prevenção ao nível do DNS, detecção comportamental, enriquecimento de telemetria e compartilhamento de inteligência.
Para organizações que ainda tratam o DNS como mero detalhe operacional, a conclusão é direta e urgente: é hora de reavaliar prioridades orçamentárias e arquiteturas de defesa.
Negligenciar o DNS hoje é manter uma porta de entrada barata, fácil e extremamente explorada pelos criminosos — e a melhor resposta é simples na teoria: tratar o DNS como a camada estratégica de proteção que ele de fato é.
Entre em Contato