Μια συμμορία κυβερνοεγκληματιών που οι ερευνητές παρακολουθούν ως Revolver Rabbit έχει καταχωρίσει περισσότερα από 500.000 ονόματα τομέα για καμπάνιες infostealer που στοχεύουν συστήματα Windows και macOS.
Δείτε επίσης: Νέο BugSleep malware χρησιμοποιείται σε επιθέσεις της MuddyWater
Για να λειτουργήσει σε τέτοια κλίμακα, ο κακόβουλος παράγοντας βασίζεται σε αλγόριθμους δημιουργίας καταχωρημένων τομέων (RDGAs), μια αυτοματοποιημένη μέθοδο που επιτρέπει την καταχώριση πολλών ονομάτων τομέα σε μια στιγμή.
Τα RDGA είναι παρόμοια με τους αλγόριθμους καταχώρισης τομέα (DGA) που εφαρμόζουν οι εγκληματίες του κυβερνοχώρου σε κακόβουλο λογισμικό, για να δημιουργήσουν μια λίστα πιθανών προορισμών για επικοινωνία εντολών και ελέγχου (C2).
Μια διαφορά μεταξύ των δύο είναι ότι τα DGA είναι ενσωματωμένα στα στελέχη κακόβουλου λογισμικού και μόνο ορισμένοι από τους τομείς που δημιουργούνται είναι καταχωρημένοι, ωστόσο τα RDGA παραμένουν στον παράγοντα απειλής και όλοι οι τομείς είναι καταχωρημένοι.
Ενώ οι ερευνητές μπορούν να ανακαλύψουν τα DGA και να προσπαθήσουν να τα ανασκευάσουν για να μάθουν τους πιθανούς τομείς C2, τα RDGA είναι μυστικά και η εύρεση του προτύπου για τη δημιουργία των τομέων προς εγγραφή γίνεται πιο απαιτητική.
Το Revolver Rabbit εκτελεί πάνω από 500.000 τομείς
Ερευνητές στον προμηθευτή ασφαλείας Infoblox που εστιάζει στο DNS ανακάλυψαν ότι το Revolver Rabbit χρησιμοποιεί RDGAs για να αγοράσει εκατοντάδες χιλιάδες domains, τα οποία ανέρχονται σε περισσότερα από 1 εκατομμύριο δολάρια σε τέλη εγγραφής.
Δείτε ακόμα: Κακόβουλες διαφημίσεις Facebook διανέμουν info-stealing malware
Ο κακόβουλος παράγοντας διανέμει το malware κλοπής πληροφοριών XLoader, τον διάδοχο του Formbook, με παραλλαγές για συστήματα Windows και macOS για τη συλλογή ευαίσθητων πληροφοριών ή την εκτέλεση κακόβουλων αρχείων.
Το Infoblox λέει ότι το Revolver Rabbit ελέγχει περισσότερους από 500.000 τομείς ανώτατου επιπέδου .BOND που χρησιμοποιούνται για τη δημιουργία διακομιστών decoy και ζωντανών C2 για το malware.
Η Renée Burton, Αντιπρόεδρος της Threat Intel στο Infoblox, είπε στο BleepingComputer ότι οι τομείς .BOND που σχετίζονται με το Revolver Rabbit είναι οι πιο εύκολοι να δεις, αλλά ο κακόβουλος παράγοντας έχει καταχωρίσει περισσότερους από 700.000 τομείς με την πάροδο του χρόνου, σε πολλαπλούς TLD.
Λαμβάνοντας υπόψη ότι η τιμή ενός τομέα .BOND είναι περίπου $2, η “επένδυση” του Revolver Rabbit που έγινε στη λειτουργία XLoader είναι κοντά στο 1 εκατομμύριο $, εξαιρουμένων των προηγούμενων αγορών ή των τομέων σε άλλα TLD.
Πολλοί κακόβουλοι παράγοντες χρησιμοποιούν RDGA για κακόβουλες λειτουργίες, που κυμαίνονται από την παράδοση κακόβουλου λογισμικού και το ηλεκτρονικό phishing έως τις καμπάνιες ανεπιθύμητης αλληλογραφίας και τις απάτες και τη δρομολόγηση της κυκλοφορίας σε κακόβουλες τοποθεσίες μέσω συστημάτων διανομής κυκλοφορίας (TDS).
Δείτε επίσης: Ουκρανός hacker καταδικάστηκε σε φυλάκιση για τη συμμετοχή του στα malware Zeus και IcedID
Οι καμπάνιες malware, όπως αυτές που οργανώνει η Revolver Rabbit, είναι συντονισμένες προσπάθειες από εγκληματίες του κυβερνοχώρου για τη διανομή κακόβουλου λογισμικού σε διάφορους στόχους με σκοπό την παραβίαση συστημάτων, την κλοπή πληροφοριών ή τη διακοπή λειτουργίας. Αυτές οι καμπάνιες χρησιμοποιούν συχνά εξελιγμένες τεχνικές, συμπεριλαμβανομένων ηλεκτρονικών μηνυμάτων ηλεκτρονικού phishing, κακόβουλης διαφήμισης και κιτ εκμετάλλευσης, για να παρασύρουν ανυποψίαστους χρήστες να κατεβάσουν και να εκτελέσουν επιβλαβή προγράμματα. Μόλις εγκατασταθεί κακόβουλο λογισμικό σε ένα σύστημα, μπορεί να εκτελέσει πολλές επιβλαβείς ενέργειες, όπως κλοπή δεδομένων, πειρατεία συστήματος ή διάδοση πρόσθετου κακόβουλου κώδικα. Η παραμονή σε επαγρύπνηση και η χρήση ισχυρών μέτρων κυβερνοασφάλειας είναι ουσιαστικής σημασίας για τον μετριασμό των κινδύνων που ενέχουν αυτές οι συνεχώς εξελισσόμενες απειλές.
Πηγή: bleepingcomputer
