Cybersecurity -onderzoekers vestigen de aandacht op een nieuwe botnet -malware genaamd Httpbot Dat is gebruikt om voornamelijk de gaming -industrie, evenals technologiebedrijven en educatieve instellingen in China te selecteren.
“In de afgelopen maanden is het agressief uitgebreid en gebruikt het continu geïnfecteerde apparaten om externe aanvallen te lanceren,” zei NSFOCUS in een rapport dat deze week is gepubliceerd. “Door zeer gesimuleerde HTTP-overstromingsaanvallen en dynamische kenmerkverdieping technieken te gebruiken, omzeilt het traditionele op regels gebaseerde detectiemechanismen.”
HTTPBOT, voor het eerst gespot in het wild in augustus 2024, krijgt zijn naam aan het gebruik van HTTP-protocollen om gedistribueerde ontkenningsaanvallen te lanceren. Geschreven in Golang, het is iets van een anomalie gezien de targeting van Windows -systemen.
De Windows-gebaseerde Botnet Trojan is opmerkelijk voor het gebruik ervan bij nauwkeurig gerichte aanvallen gericht op hoogwaardige zakelijke interfaces zoals speltekens en betalingssystemen.
“Deze aanval met ‘scalpel-achtige’ precisie vormt een systemische bedreiging voor industrieën die afhankelijk zijn van realtime interactie,” zei het bedrijf in Beijing met de hoofdkantoor. “HTTPBOT markeert een paradigmaverschuiving bij DDoS-aanvallen, die van ‘willekeurige verkeersonderdrukking’ naar ‘zeer nauwkeurige zakelijke wurging’.
HTTPBOT wordt naar schatting sinds begin april 2025 niet minder dan 200 aanvalsinstructies uitgegeven, met de aanvallen die zijn ontworpen om de gaming -industrie, technologiebedrijven, onderwijsinstellingen en toeristische portals in China te staken.
Eenmaal geïnstalleerd en uitgevoerd, verbergt de malware zijn grafische gebruikersinterface (GUI) om procesmonitoring door zowel gebruikers als beveiligingstools te omzeilen in een poging de heimelijkheid van de aanvallen te vergroten. Het neemt ook zijn toevlucht tot ongeoorloofde Windows -registermanipulatie om ervoor te zorgen dat het automatisch wordt uitgevoerd op het opstarten van het systeem.
De BOTNET-malware gaat vervolgens over tot het opzetten van contact met een command-and-control (C2) -server om te wachten op verdere instructies om HTTP-overstromingsaanvallen op specifieke doelen uit te voeren door een groot aantal HTTP-aanvragen te verzenden. Het ondersteunt verschillende aanvalsmodules –
- Browserattack, waarbij verborgen Google Chrome -instanties worden gebruikt om legitiem verkeer na te bootsen terwijl de serverbronnen worden uitgeput
- Httpautoattack, die gebruik maakt van een op cookie gebaseerde aanpak om legitieme sessies nauwkeurig te simuleren
- Httpfpdlattack, die het HTTP/2 -protocol gebruikt en kiest voor een aanpak die de CPU -lader op de server wil vergroten door deze te dwingen om grote antwoorden terug te brengen
- WebSocketAttAck, die “WS: //” en “WSS: //” protocollen gebruikt om WebSocket -verbindingen tot stand te brengen
- PostAttack, die het gebruik van HTTP -post dwingt om de aanval uit te voeren
- Cookieattack, die een cookie -verwerkingsstroom toevoegt op basis van de browserattack -aanvalsmethode
“DDOS Botnet -families hebben de neiging om samen te komen op Linux- en IoT -platforms,” zei NSFOCUS. “De HTTPBOT Botnet -familie heeft echter specifiek op het Windows -platform gericht.”
“Door een diep te simuleren van protocollagen en het nabootsen van legitiem browsergedrag, omzeilt HTTPBOT verdedigingen die afhankelijk zijn van protocolintegriteit. Het bezet ook continu server sessiebronnen via gerandomiseerde URL -paden en cookie -aanvullende mechanismen, in plaats van te vertrouwen op een pure verkeersvolume.”
