Размер шрифта:
Межбуквенный интервал:
Изображения:
Отключить версию для слабовидящих close
Хакерская группировка зарегистрировала для кампании распространения вредоносного ПО более полумиллиона доменов
#вредоносное ПО
Хакерская группировка зарегистрировала для кампании распространения вредоносного ПО более полумиллиона доменов

Исследователи компании Infoblox сообщили о масштабной кампании распространения вредоносного ПО. Зловред XLoader, предназначенный для похищения конфиденциальных данных, а также дополнительных вредоносных загрузок, угрожает устройствам под управлением операционных систем Windows и macOS и распространяется киберпреступной группировкой Revolver Rabbit. Весьма примечательно, что для своей кампании киберпреступники зарегистрировали более полумиллиона доменных имен.

Разумеется, сделать это вручную невозможно: хакеры используют алгоритмы генерации зарегистрированных доменов (registered domain generation algorithms - RDGAs) - метод автоматизации, который позволяет мгновенно регистрировать множество доменных имен. Этот инструмент во многом сходен с алгоритмами генерации доменных имен (Domain Generation Algorithms - DGA), которые служат для создания списка адресов потенциальных командных серверов в ходе атак. Но есть и существенная разница. Алгоритмы DGA внедрены непосредственно в код вредоносного ПО, и регистрируются в итоге лишь некоторые из сгенерированных доменных имен. А алгоритмы RDGA остаются под контролем киберпреступников и регистрируют все созданные ими домены.

В случае с кампанией, развернутой группировкой Revolver Rabbit, львиная доля имен приходится на новый общий домен верхнего уровня .BOND. Все зарегистрированные имена легки для прочтения и состоят из нескольких слов и групп цифр, разделенных знаком дефис. В качестве примера можно привести домены usa-online-degree-29o.bond, uk-river-cruises-8n.bond, app-software-development-training-52686.bond, security-surveillance-cameras-42345.bond и множество других. По оценкам исследователей Infoblox, хакеры Revolver Rabbit зарегистрировали в доменной зоне .BOND не менее полумиллиона доменных имен. Если учесть, что стоимость годовой регистрации составляет в этом домене порядка 2 долларов, то получается, что в свою атаку киберпреступники уже «инвестировали» более миллиона долларов.