Исследователи обнаружили новый ботнет HTTPBot, который используется для атак на игровые и технологические компании, а также образовательные учреждения и туристические порталы в Китае.
Специалисты NSFOCUS сообщили, что за последние несколько месяцев ботнет активно развивался, постоянно используя зараженные устройства для проведения атак.
«Используя атаки типа HTTP-Flood с высокой степенью имитации и динамические методы обфускации функций, он обходит традиционные механизмы обнаружения, основанные на правилах», — говорят эксперты.
Впервые HTTPBot был замечен еще в августе 2024 года и получил свое название благодаря применению HTTP-протоколов для DDoS-атак. По словам исследователей, написанный на языке Go, вредонос является своего рода аномалией, поскольку его целью являются системы под управлением Windows.
«Семейства DDoS-ботнетов, как правило, концентрируются на Linux и IoT. Однако семейство ботнетов HTTPBot нацелено именно на Windows, — объясняют в NSFOCUS. — Глубоко симулируя уровни протокола и имитируя нормальное поведение браузера, HTTPBot обходит средства защиты, которые полагаются на целостность протоколов. Кроме того, вредонос постоянно занимает ресурсы серверных сессий с помощью рандомизированных путей URL и механизмов cookie replenishment, а не просто полагается на большие объемы трафика».
Также малварь примечательна тем, что используется для совершения узконаправленных и точных атак на такие объекты, как платежные системы и системы авторизации в играх.
«Точность этих атак подобна скальпелю, и HTTPBot представляет собой системную угрозу для отраслей, которые зависят от взаимодействий в режиме реального времени, — пишут специалисты. — HTTPBot знаменует собой смену парадигмы в DDoS-атаках и переходит от "беспорядочного подавления трафиком" к "высокоточному удушению бизнеса"».
По оценкам экспертов, с начала апреля 2025 года HTTPBot использовался для совершения примерно 200 атак.
После установки и запуска малварь скрывает свой GUI, чтобы обойти мониторинг процессов и скрыться как от пользователей, так и от защитных решений. Кроме того, вредонос прописывается в реестре Windows, чтобы обеспечить себе автоматический запуск при каждом старте системы.
Затем малварь связывается со своим управляющим сервером и ожидает дальнейших инструкций для HTTP-атак на определенные цели. HTTPBot поддерживает различные модули:
- BrowserAttack — предполагает использование скрытых экземпляров Google Chrome для имитации легитимного трафика с одновременным истощением ресурсов сервера;
- HttpAutoAttack — использует основанный на cookie метод для имитации легитимных сессий;
- HttpFpDlAttack — использует протокол HTTP/2 и предлагает подход, направленный на увеличение нагрузки на процессор сервера, вынуждая его к возврату больших ответов;
- WebSocketAttack — использует ws:// и wss:// для установления WebSocket-соединений;
- PostAttack — использует HTTP POST для проведения атак;
- CookieAttack — добавляет поток обработки cookie, основываясь на методе BrowserAttack.
