La banda Revolver Rabbit registra 500.000 dominios para campañas de malware

Una banda de ciberdelincuentes que los investigadores rastrean con el nombre de Revolver Rabbit ha registrado más de 500.000 nombres de dominio para campañas de robo de información dirigidas a sistemas Windows y macOS.

Para operar a tal escala, el actor de amenazas se basa en algoritmos de generación de dominios registrados (RDGA), un método automatizado que le permite registrar múltiples nombres de dominio en un instante.

Los RDGA son similares a los algoritmos de registro de dominio (DGA) que los ciberdelincuentes implementan en malware para crear una lista de destinos potenciales para la comunicación de comando y control (C2).

Una de las diferencias entre los dos es que los DGA están integrados en las cepas de malware y solo se registran algunos de los dominios generados, mientras que los RDGA permanecen con el actor de la amenaza y todos los dominios están registrados.

Si bien los investigadores pueden descubrir DGA e intentar aplicarles ingeniería inversa para conocer posibles dominios C2, los RDGA son secretos y encontrar el modelo de generación de dominios para registrar se convierte en una tarea más difícil.

Revolver Rabbit gestiona más de 500.000 dominios

Los investigadores del proveedor de seguridad centrado en DNS Infoblox descubrieron que Revolver Rabbit utilizó RDGA para comprar cientos de miles de dominios, lo que representa más de 1 millón de dólares en tarifas de registro.

El actor malicioso distribuye el malware de robo de información XLoader, el sucesor de Formbook, con variantes para sistemas Windows y macOS para recopilar información confidencial o ejecutar archivos maliciosos.

Infoblox afirma que Revolver Rabbit controla más de 500.000 dominios de nivel superior .BOND que se utilizan para crear servidores C2 activos y señuelos para el malware.

Renée Burton, vicepresidenta de Threat Intel en Infoblox, le dijo a BleepingComputer que los dominios .BOND vinculados a Revolver Rabbit son los más fáciles de ver, pero el actor de amenazas ha registrado más de 700.000 dominios a lo largo del tiempo, en varios TLD.

Considerando que el precio de un dominio .BOND ronda los 2 dólares, la “inversión” realizada por Revolver Rabbit en su operación XLoader se acerca al millón de dólares, excluyendo compras pasadas o dominios en otros TLD.

Los dominios generalmente son fáciles de leer, parecen centrarse en un tema o región en particular y tienen una amplia variedad, como se muestra en los ejemplos siguientes:

• diplomado-en-linea-de-ee-uu-29o[.]enlazar
• aire-acondicionado-portátil-bra-9o[.]enlazar
• cruceros fluviales reino unido 8n[.]enlazar
• cursos-ai-17621[.]enlazar
• formación-desarrollo-de-software-aplicaciones-52686[.]enlazar
• centro de vida asistida-11607[.]enlazar
• trabajos-en-linea-42681[.]enlazar
• perfumes-76753[.]enlazar
• camaras de vigilancia y seguridad 42345[.]enlazar
• clase-de-yoga-35904[.]enlazar

Los investigadores dicen que «conectar el Revolver Rabbit RDGA con malware establecido después de meses de seguimiento resalta la importancia de entender los RDGA como una técnica en la caja de herramientas del actor de amenazas».

Infoblox ha estado rastreando a Revolver Rabbit durante casi un año, pero el uso de RDGA ocultó el objetivo del actor de amenazas hasta hace poco.

Se han observado campañas de este adversario en el pasado, pero sin establecer un vínculo con una operación tan grande como la descubierta por Infoblox.

Por ejemplo, la herramienta de escaneo de malware de la empresa de respuesta a incidentes Security Joes proporciona detalles técnicos en una muestra del infostealer Formbook que tiene más de 60 servidores C2 señuelo, pero solo un dominio en el TLD .BOND es el real.

Muchos actores de amenazas utilizan RDGA para operaciones maliciosas que van desde la entrega de malware y el phishing hasta campañas de spam y estafas, y el enrutamiento del tráfico a ubicaciones maliciosas a través de sistemas de distribución de tráfico (TDS).