I ricercatori della sicurezza informatica richiamano l’attenzione su un nuovo malware botnet chiamato Httpbot Questo è stato usato per individuare principalmente l’industria dei giochi, nonché le aziende tecnologiche e le istituzioni educative in Cina.
“Negli ultimi mesi, si è ampliato in modo aggressivo, sfruttando continuamente i dispositivi infetti per lanciare attacchi esterni”, NSFocus disse In un rapporto pubblicato questa settimana. “Impiegando attacchi di alluvione HTTP altamente simulati e tecniche di offuscamento delle caratteristiche dinamiche, elude i tradizionali meccanismi di rilevamento basati sulle regole.”
HTTPBOT, notato per la prima volta in natura nell’agosto 2024, prende il nome dall’uso dei protocolli HTTP per lanciare attacchi di negazione del servizio distribuiti. Scritto in Golang, è una specie di anomalia dato il suo concentrating on dei sistemi Home windows.
La botnet basata su Home windows Trojan è degna di nota per il suo utilizzo in attacchi mirati precisamente rivolti a interfacce aziendali di alto valore come l’accesso al gioco e i sistemi di pagamento.
“Questo attacco con la precisione” simile al bisturi “rappresenta una minaccia sistemica per le industrie che si basano sull’interazione in tempo reale”, ha affermato la società con sede a Pechino. “HttpBot segna un cambio di paradigma negli attacchi DDoS, passando da” soppressione del traffico indiscriminata a “strangolamento commerciale advert alta precisione”.
Si stima che HTTPBOT abbia emesso non meno di 200 istruzioni di attacco dall’inizio di aprile 2025, con gli attacchi progettati per colpire l’industria dei giochi, le società tecnologiche, le istituzioni educative e i portali turistici in Cina.
Una volta installato ed eseguito, il malware nasconde la sua interfaccia utente grafica (GUI) al monitoraggio dei processi di educare sia gli utenti che gli strumenti di sicurezza nel tentativo di aumentare la furtività degli attacchi. Ricorda inoltre a manipolazione del registro di Home windows non autorizzato per garantire che sia eseguito automaticamente all’avvio del sistema.
Il malware botnet procede quindi a stabilire il contatto con un server di comando e controllo (C2) per attendere ulteriori istruzioni per eseguire attacchi di alluvione HTTP contro obiettivi specifici inviando un quantity elevato di richieste HTTP. Supporta vari moduli di attacco –
- Browserattack, che prevede l’utilizzo di istanze di Google Chrome nascoste per imitare il traffico legittimo mentre esaurisce le risorse del server
- Httpautoattack, che utilizza un approccio a base di cookie per simulare accuratamente le sessioni legittime
- Httpfpdlattack, che utilizza il protocollo HTTP/2 e opta per un approccio che cerca di aumentare il caricatore CPU sul server costringendolo a restituire grandi risposte
- WebSocketAttack, che utilizza protocolli “WS: //” e “WSS: //” per stabilire connessioni WebSocket
- Postattack, che costringe l’uso di HTTP Publish per condurre l’attacco
- CookieatTack, che aggiunge un flusso di elaborazione dei cookie in base al metodo di attacco di browserack
“Le famiglie di botnet DDOS tendono a riunirsi su piattaforme Linux e IoT”, ha affermato NSFocus. “Tuttavia, la famiglia Botnet HTTPBOT ha preso di mira specificamente la piattaforma Home windows.”
“Simulando profondamente i livelli di protocollo e imitando il comportamento del browser legittimo, HTTPBOT aggira le difese che si basano sull’integrità del protocollo. Occupa continuamente le risorse della sessione del server attraverso percorsi URL randomizzati e meccanismi di rifornimento dei cookie, piuttosto che fare affidamento sul quantity del traffico puro.”
