Para alojar y distribuir servidores de comando y control (C2) malwareO realizar otras actividades maliciosas, los piratas informáticos necesitan un nombre de dominio. Pueden automatizar el proceso de obtención de nombres de dominio utilizando el Algoritmo de Generación de Dominios (DGA). Sin embargo, para poder utilizar estos dominios, también deben registrarlos con un registrador de dominios.
Para ello, un grupo de hackers ha comenzado a utilizar Algoritmos de Generación de Dominios de Registro (RDGA), que, lamentablemente, parecen funcionar.
Investigadores de ciberseguridad de Infoblox Threat Corporación Intel Un sitio web informó que un actor de amenazas llamado Revolver Rabbit registró más de 500.000 dominios de esta manera, lo que les habría requerido invertir al menos 1 millón de dólares, que es una gran suma de dinero.
Proyecto rentable
El hacker utilizó RDGA para crear dominios de comando y control (C2) y dominios ficticios para que el malware XLoader robara información.
XLoader es un malware versátil y potente que cumple múltiples funciones, incluido el robo de datos, el robo de credenciales y actuar como un troyano de acceso remoto (RAT). Es una evolución del notorio malware FormBook, que también era conocido por sus capacidades de robo de información. XLoader se ha utilizado en varias campañas de ciberdelincuentes, a menudo dirigidas a los sistemas operativos Windows y macOS.
“Este debe ser un malware rentable para Revolver Rabbit dadas sus inversiones en nombres de dominio”, dijeron los investigadores. “Vincular el Revolver Rabbit RDGA a un malware establecido después de meses de seguimiento resalta la importancia de entender los RDGA como una tecnología dentro del conjunto de herramientas de un actor de amenazas”.
El informe de Infoblox concluyó que los ataques RDGA representan una amenaza “masiva y subestimada”. Mediante el uso de nueva tecnología, los actores de amenazas pueden expandir fácilmente sus operaciones de spam, malware y fraude, a menudo más allá de la vista de la industria de la ciberseguridad. De hecho, InfoBlocks descubre periódicamente “decenas de miles de nuevos dominios”, que luego se agregan en grupos de activos controlados por los actores.
Los investigadores afirman que la mayoría de estas áreas pasan desapercibidas para el sector de la seguridad. Revolver Rabbit ha estado activo durante aproximadamente un año y no ha sido clasificado como malware.