Infoblox Threat Intel, la unidad de inteligencia de ciberseguridad de Infoblox, publicó un nuevo estudio con las últimas novedades en la utilización de algoritmos de generación de dominios registrados (RDGA) por parte de actores maliciosos.
Un algoritmo RDGA se diferencia del algoritmo de generación de dominios de malware (DGA) tradicional en que todos los dominios que se generan son registrados, no sólo una parte de ellos, lo que permite escalar los ataques rápidamente y evitar que sean detectados. Esta técnica fue por primera vez descrita por Infoblox en octubre de 2023
El estudio pone de manifiesto que el uso de este tipo de generadores de dominios ha aumentado en los últimos años y se emplean en múltiples y variados casos de uso, desde ciberestafas y phising hasta difusión de malware. Los algoritmos RDGA se han convertido en una herramienta fundamental dentro del conjunto de técnicas utilizadas por los actores maliciosos y suponen una amenaza importante y subestimada. Con el uso de RDGA, los actores pueden escalar fácilmente sus operaciones de spam, malware y estafas, a menudo sin ser detectados por los actores de inteligencia de ciberseguridad del mercado. Además, la automatización en los servicios de registro de dominios facilita a los ciberdelincuentes el uso de esta técnica.
Infoblox Threat Intel ha desarrollado múltiples algoritmos para descubrir y rastrear dominios generados mediante RDGA, incluso aquellos que están en estado de desarrollo por parte de nuevas entidades de dominios. Utilizando estos algoritmos como detectores, Infoblox ha podido identificar decenas de miles de nuevos dominios potencialmente maliciosos cada día, y clasificarlos en grupos de recursos que son controlados por actores maliciosos. Es de destacar que la mayoría de estos dominios pasan desapercibidos para la mayoría de proveedores de soluciones de la seguridad.
Revolver Rabbit, un actor malicioso que ha registrado más de 500.000 dominios
El ejemplo más notable identificado por Infoblox es un RDGA controlado por un actor malicioso que ha registrado más de 500.000 dominios, y que Infoblox Threat Intel ha denominado Revolver Rabbit, que ha debido suponer un costo para este actor de más de un millón de dólares en tarifas de registro. Después de rastrear la actividad de este actor durante casi un año, y sin que diera muestras de actividad maliciosa, a pesar del gran número de dominios registrados, Infoblox Threat Intel descubrió que Revolver Rabbit usa RDGA para crear dominios de comando y control (C2) y dominios señuelo (decoy domains) para el malware XLoader (también conocido como Formbook). Este malware es una agente de exfiltración de datos cuyo vector de ataque suelen ser correos electrónicos de phishing.
