Дослідники виявили новий ботнет HTTPBot, який використовується для атак на ігрові та технологічні компанії, а також освітні установи та туристичні портали в Китаї.

Фахівці NSFOCUS повідомили, що за останні кілька місяців ботнет активно розвивався, постійно використовуючи заражені пристрої для проведення атак.

«Використовуючи атаки типу HTTP-Flood з високим ступенем імітації та динамічні методи обфускації функцій, він обходить традиційні механізми виявлення, засновані на правилах», – кажуть експерти.

Уперше HTTPBot був помічений ще в серпні 2024 року і отримав свою назву завдяки застосуванню HTTP-протоколів для DDoS-атак. За словами дослідників, написаний мовою Go, шкідник є своєрідною аномалією, оскільки його метою є системи під управлінням Windows.

«Сімейства DDoS-ботнетів, як правило, концентруються на Linux і IoT. Однак сімейство ботнетів HTTPBot націлене саме на Windows, – пояснюють у NSFOCUS. – Глибоко симулюючи рівні протоколу та імітуючи нормальну поведінку браузера, HTTPBot обходить засоби захисту, які покладаються на цілісність протоколів. Крім того, шкідник постійно займає ресурси серверних сесій за допомогою рандомізованих шляхів URL і механізмів cookie replenishment, а не просто покладається на великі обсяги трафіку».

Також малварь примітна тим, що використовується для здійснення вузькоспрямованих і точних атак на такі об’єкти, як платіжні системи та системи авторизації в іграх.

«Точність цих атак подібна до скальпеля, і HTTPBot являє собою системну загрозу для галузей, які залежать від взаємодій у режимі реального часу, – пишуть фахівці. – HTTPBot знаменує собою зміну парадигми в DDoS-атаках і переходить від «безладного придушення трафіком» до «високоточного удушення бізнесу»».

Після встановлення та запуску малварь приховує свій GUI, щоб обійти моніторинг процесів і сховатися як від користувачів, так і від захисних рішень. Крім того, шкідник прописується в реєстрі Windows, щоб забезпечити собі автоматичний запуск при кожному старті системи.

Потім шкідник зв’язується зі своїм керуючим сервером і очікує подальших інструкцій для HTTP-атак на певні цілі. HTTPBot підтримує різні модулі:

-BrowserAttack – передбачає використання прихованих екземплярів Google Chrome для імітації легітимного трафіку з одночасним виснаженням ресурсів сервера;
-HttpAutoAttack – використовує заснований на cookie метод для імітації легітимних сесій;
-HttpFpDlAttack – використовує протокол HTTP/2 і пропонує підхід, спрямований на збільшення навантаження на процесор сервера, змушуючи його до повернення великих відповідей;
-WebSocketAttack – використовує ws:// і wss:// для встановлення WebSocket-з’єднань;
-PostAttack – використовує HTTP POST для проведення атак;
-CookieAttack – додає потік обробки cookie, ґрунтуючись на методі BrowserAttack.