Cybercriminelen trekken de portemonnee voor registreren van malafide domeinen
Criminelen zetten in het legitiem registreren van malafide domeinnamen. Zo proberen zij detectie te vermijden en op grotere schaal aanvallen uit te voeren.
Dit meldt Infoblox Threat Intel op basis van een onderzoek naar het gebruik van registered domain generation-algoritmes (RDGAs) door criminele actoren. Een RDGA verschilt van traditionele algoritmes voor domeinnamen (DGA) door het feit dat alle domeinen legitiem zijn geregistreerd. Deze techniek werd voor het eerst in 2023 ontdekt. RDGA’s zijn vervolgens aangetroffen in de aanvalsketen van niet alleen malware, maar ook linkverkorters zoals Prolific Puma en traffic distribution systems zoals VexTrio Viper en Savvy Seahorse.
Met behulp van nieuwe monitoring-algoritmes komt het Infoblox Threat Intel-team dagelijks tienduizenden nieuwe domeinen op het spoor die eerder niet als malafide zijn aangemerkt. Verder onderzoek toont aan dat het gebruik van RDGA’s de afgelopen jaren sterk is gegroeid en voor verschillende doeleinden wordt ingezet, van malware tot fraude.
Voor miljoen dollar aan domeinen geregistreerd
Een van de meest opmerkelijke voorbeelden van RDGA-gebruik is Revolver Rabbit, een actor die meer dan 500.000 domeinen heeft geregistreerd, voor meer dan $1 miljoen aan registratiekosten.
De motivatie achter deze massaregistratie was maandenlang onduidelijk, totdat ontdekt werd dat Revolver Rabbit command-and-control- en namaakdomeinen aanmaakt voor de XLoader-malware (ook bekend als Formbook). Deze malware steelt gegevens en wordt doorgaans via phishingmails verspreid. Gezien de aanzienlijke investering in domeinregistratie moet deze malware nogal winstgevend zijn voor Revolver Rabbit. Het verbinden van de Revolver Rabbit RDGA aan een gevestigde malware na maanden van volgen benadrukt het belang van het begrijpen van RDGA's als een techniek binnen de toolbox van dreigingsactoren.
'Onderschatte dreiging'
Het onderzoek toont aan dat RDGA's een grote en onderschatte dreiging vormen. Actoren kunnen hun spam-, malware- en fraudecampagnes eenvoudig opschalen, vaak zonder dat ze bang hoeven te zijn dat de securitybranche ze ontdekt. Bovendien maakt de automatisering van domeinregistratiediensten het voor cybercriminelen gemakkelijk om een RDGA te gebruiken. Infoblox wil met dit nieuwe onderzoek dan ook het bewustzijn vergroten over deze groeiende trend in malafide domeinregistraties.
Meer informatie over RDGA’s is beschikbaar in dit Infoblox blog.
Meer over Security
Over Wouter Hoeffnagel
