名为 Revolver Rabbit 的网络犯罪团伙已经注册了超过 500,000 个域名,用于针对 Windows 和 macOS 系统的广泛信息窃取活动。它们利用注册域生成算法(RDGA)来自动创建和注册这些域名,与嵌入在恶意软件中的传统域生成算法(DGA)相比,这是一种更复杂的方法。这种方法给试图辨别模式和先发制人地识别恶意域的研究人员带来了巨大的挑战。
安全供应商 Infoblox 已经发现 Revolver Rabbit 利用 RDGA 来收购这些域名,该组织花费了超过 100 万美元的注册费。这些域主要是 .BOND 顶级域,用于建立诱饵和主动命令和控制(C2)服务器,用于分发 XLoader 恶意软件,这是 Formbook 信息窃取程序的变体。Infoblox 威胁情报副总裁 Renée Burton 指出,虽然 .BOND域名突出,该团伙总共注册了超过700,000个域名,表明其组织性和规模化程度很高。来源