Un gang de cybercriminels que les chercheurs traquent sous le nom de Revolver Rabbit a enregistré plus de 500 000 noms de domaine pour des campagnes d’infostealer ciblant les systèmes Windows et macOS.

Pour opérer à une telle échelle, l’auteur de la menace s’appuie sur des algorithmes de génération de domaines enregistrés (RDGAs), une méthode automatisée qui permet d’enregistrer plusieurs noms de domaine en un instant.

Les RDGAS sont similaires aux algorithmes d’enregistrement de domaine (DGA) que les cybercriminels implémentent dans les logiciels malveillants pour créer une liste de destinations potentielles pour la communication de commande et de contrôle (C2).

Une différence entre les deux est que les DGA sont intégrés dans les souches de logiciels malveillants et que seuls certains des domaines générés sont enregistrés, mais les RDGAS restent avec l’auteur de la menace et tous les domaines sont enregistrés.

Alors que les chercheurs peuvent découvrir les DGA et essayer de les désosser pour apprendre les domaines C2 potentiels, les RDGAs sont secrets, et trouver le modèle pour générer les domaines à enregistrer devient une tâche plus difficile.

Revolver Rabbit gère plus de 500 000 domaines
Des chercheurs du fournisseur de sécurité spécialisé dans le DNS Infoblox ont découvert que Revolver Rabbit utilisait des RDGAs pour acheter des centaines de milliers de domaines, ce qui représente plus d’un million de dollars de frais d’inscription.

L’auteur de la menace distribue le malware de vol d’informations XLoader, le successeur de Formbook, avec des variantes pour les systèmes Windows et macOS pour collecter des informations sensibles ou exécuter des fichiers malveillants.

Infoblox dit que Revolver Rabbit en contrôle plus de 500 000 .LIER des domaines de premier niveau qui sont utilisés pour créer à la fois des serveurs leurre et live C2 pour le malware.

Renée Burton, vice-présidente des renseignements sur les menaces chez Infoblox, a déclaré cela à Breachtrace .Les domaines obligataires liés à Revolver Rabbit sont les plus faciles à voir, mais l’auteur de la menace a enregistré plus de 700 000 domaines au fil du temps, sur plusieurs TLD.

Considérant que le prix d’un .Le domaine OBLIGATAIRE est d’environ 2$, l ‘” investissement  » Revolver Rabbit réalisé dans leur opération XLoader est de près de 1 million de dollars, à l’exclusion des achats antérieurs ou des domaines sur d’autres TLD.

” Le modèle RDGA le plus courant utilisé par cet acteur est une série d’un ou plusieurs mots du dictionnaire suivis d’un nombre à cinq chiffres, chaque mot ou nombre étant séparé par un tiret », Infoblox

Les domaines sont généralement faciles à lire, semblent se concentrer sur un sujet ou une région en particulier et présentent une grande variété, comme le montrent les exemples ci-dessous:

  • états-unis-en ligne-diplôme-29o[.] lien
  • soutien-gorge-portable-climatiseur-9o[.] lien
  • royaume-Uni-croisières fluviales-8n[.] lien
  • ai-cours-17621[.] lien
  • développement d’applications logicielles-formation-52686[.] lien
  • aide à la vie autonome-11607[.] lien
  • emplois en ligne-42681[.] lien
  • parfums-76753[.] lien
  • caméras de sécurité-surveillance-42345[.] lien
  • cours de yoga-35904[.] lien

Les chercheurs disent que  » connecter le RDGA Revolver Rabbit à un malware établi après des mois de suivi met en évidence l’importance de comprendre le RDGAS en tant que technique dans la boîte à outils de l’auteur de la menace.”

Infoblox suit Revolver Rabbit depuis près d’un an, mais l’utilisation de RDGAs cachait l’objectif de l’acteur de la menace jusqu’à récemment.

Des campagnes de cet adversaire ont été observées dans le passé, mais sans établir de lien avec une opération aussi importante que celle découverte par Infoblox.

Par exemple, l’outil d’analyse des logiciels malveillants de la société de réponse aux incidents Security Joes fournit des détails techniques sur un échantillon d’infostealer Formbook qui compte plus de 60 serveurs decoy C2 mais un seul domaine dans le .BOND TLD est le vrai.

Plusieurs acteurs de la menace utilisent des RDGAs pour des opérations malveillantes allant de la livraison de logiciels malveillants et du phishing aux campagnes de spam, en passant par les escroqueries et le routage du trafic vers des emplacements malveillants via des systèmes de distribution de trafic (TDSs).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *