Revolver Rabbit: La Nuova Minaccia Cyber supportata da 500.000 Domini di primo livello

Redazione RHC : 20 Luglio 2024 19:09

I ricercatori di Infoblox hanno scoperto il gruppo Revolver Rabbit, che ha registrato più di 500.000 domini per le sue campagne dannose rivolte agli utenti Windows e macOS.

Gli esperti affermano che gli hacker utilizzano algoritmi per generare domini (RDGA), ovvero registrare automaticamente nomi di dominio in un breve periodo di tempo.

L’essenza di RDGA è simile al metodo DGA, utilizzato dal malware per creare elenchi di possibili posizioni per i server di controllo. La differenza è che DGA è integrato direttamente nel codice del malware e registra solo alcuni dei domini generati, mentre RDGA lavora dalla parte degli aggressori e registra tutti i domini generati.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

E mentre i ricercatori possono scoprire un DGA e poi decodificare gli indirizzi di eventuali server di comando e controllo, con un RDGA tutto è segreto, e trovare un modello per generare domini diventa un compito più difficile.

Secondo l’azienda, il gruppo controlla più di 500.000 domini di primo livello .BOND, che vengono utilizzati per creare server di controllo sia falsi che reali per il malware. Allo stesso tempo, Infoblox osserva che i domini nella zona .BOND sono semplicemente i più facili da rilevare, ma in totale gli hacker hanno già registrato più di 700.000 domini in una varietà di zone.

I ricercatori stimano che Revolver Rabbit utilizzi RDGA per acquistare centinaia di migliaia di domini e che la sua spesa abbia già superato 1 milione di dollari, dato che un singolo dominio .BOND costa circa 2 dollari.

Nelle loro operazioni, gli hacker distribuiscono il malware XLoader, in grado di rubare informazioni riservate ed eseguire file dannosi sui sistemi che eseguono Windows e macOS. “Il modello RDGA più comune utilizzato da questo gruppo è una serie di una o più parole del dizionario seguite da un numero di cinque cifre, con ogni parola o numero separato da un trattino”, hanno detto gli analisti di Infoblox.

I domini tendono a concentrarsi su un argomento o una regione specifica e hanno molta varietà. Ecco alcuni esempi:

• usa-online-laurea-29o[.]bond
• reggiseno-condizionatore-portatile-9o[.]bond
• crociere-fluviali-uk-8n[.]bond
• ai-courses-17621[.]bond
• app-sviluppo-software-formazione-52686[.]bond
• assistenza-alla-vita-11607[.]bond
• lavori-online-42681[.]bond
• profumi-76753[.]bond
• telecamere-di-sorveglianza-di-sicurezza-42345[.]bond
• lezioni-di-yoga-35904[.]bond

I ricercatori scrivono di aver monitorato Revolver Rabbit per circa un anno, ma l’uso di RDGA ha nascosto gli obiettivi degli aggressori fino a poco tempo fa.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli