Revolver Rabbit registra 500 mil domínios
19 de Julho de 2024

Uma gangue de cibercriminosos, que os pesquisadores identificam como Revolver Rabbit, registrou mais de 500.000 nomes de domínio para campanhas de infostealer que visam sistemas Windows e macOS.

Para operar em tal escala, o ator de ameaça conta com algoritmos de geração de domínios registrados (RDGAs), um método automatizado que permite registrar múltiplos nomes de domínio instantaneamente.

RDGAs são similares aos algoritmos de registro de domínios (DGAs) que cibercriminosos implementam em malwares para criar uma lista de destinos potenciais para comunicação de comando e controle (C2).

Uma diferença entre os dois é que os DGAs estão embutidos nas cepas de malware e apenas alguns dos domínios gerados são registrados, já os RDGAs permanecem com o ator de ameaça, e todos os domínios são registrados.

Enquanto os pesquisadores podem descobrir DGAs e tentar reverter seu engenho para aprender os domínios C2 potenciais, RDGAs são secretos, e encontrar o padrão para gerar os domínios a serem registrados torna-se uma tarefa mais desafiadora.

Pesquisadores na empresa de segurança focada em DNS, Infoblox, descobriram que Revolver Rabbit tem usado RDGAs para comprar centenas de milhares de domínios, o que soma mais de $1 milhão em taxas de registro.

O ator de ameaça está distribuindo o malware XLoader, sucessor do Formbook, com variantes para sistemas Windows e macOS para coletar informações sensíveis ou executar arquivos maliciosos.

A Infoblox diz que Revolver Rabbit está controlando mais de 500.000 domínios de primeiro nível .BOND que são usados para criar tanto servidores C2 de isca quanto ativos para o malware.

Renée Burton, VP de Threat Intel na Infoblox, disse que os domínios .BOND relacionados ao Revolver Rabbit são os mais fáceis de identificar, mas o ator de ameaça registrou mais de 700.000 domínios ao longo do tempo, em múltiplos TLDs.

Considerando que o preço de um domínio .BOND está por volta de $2, o “investimento” que Revolver Rabbit fez em sua operação XLoader chega próximo a $1 milhão, excluindo compras passadas ou domínios em outros TLDs.

Os domínios são tipicamente fáceis de ler, parecem focar em um tópico ou região específicos, e mostram uma ampla variedade, como visto nos exemplos abaixo:

usa-online-degree-29o[.]bond
bra-portable-air-conditioner-9o[.]bond
uk-river-cruises-8n[.]bond
ai-courses-17621[.]bond
app-software-development-training-52686[.]bond
assisted-living-11607[.]bond
online-jobs-42681[.]bond
perfumes-76753[.]bond
security-surveillance-cameras-42345[.]bond
yoga-classes-35904[.]bond

Os pesquisadores dizem que “conectar o RDGA do Revolver Rabbit a um malware estabelecido após meses de rastreamento destaca a importância de entender os RDGAs como uma técnica dentro do arsenal do ator de ameaça.”

A Infoblox vem rastreando o Revolver Rabbit por quase um ano, mas o uso de RDGAs ocultou o objetivo do ator de ameaça até recentemente.

Campanhas deste adversário foram observadas no passado, mas sem fazer a conexão com uma operação tão grande quanto a descoberta pela Infoblox.

Por exemplo, a ferramenta de análise de malware da empresa de resposta a incidentes Security Joes fornece detalhes técnicos sobre uma amostra de infostealer Formbook que possui mais de 60 servidores C2 de isca, mas apenas um domínio no TLD .BOND é o real.

Múltiplos atores de ameaça estão usando RDGAs para operações maliciosas que vão desde entrega de malware e phishing até campanhas de spam, golpes e direcionamento de tráfego para locais maliciosos via sistemas de distribuição de tráfego (TDSs).

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...