Китайский ботнет DoubleGuns использует зараженные приложения
27/05/20
Специалисты компании Qihoo 360 раскрыли подробности об одном из крупнейших ботнетов в Китае под названием DoubleGuns. Данный ботнет атакует только китайских пользователей и насчитывает миллионы жертв.
DoubleGuns представляет собой троян для заражения устройств под управлением Windows. Вредонос используется с июля 2017 года, когда исследователи Qihoo 360 впервые обнаружили его ранний вариант. За последние три года троян мало изменился. Он по-прежнему попадает на устройства через зараженные приложения (в основном, нелицензионные игры), распространяемые на китайских сайтах (в соцсетях и на игровых форумах).
Главная задача вредоноса остается прежней – установка на устройства MBR- и VBR-буткитов, а также всевозможных вредоносных драйверов с последующим похищением учетных данных для авторизации в локальных приложениях, в особенности Steam. Кроме того, он играет роль модуля для отображения рекламы и спама.
Более старые версии DoubleGuns также перехватывали трафик легитимных порталов электронной коммерции и переадресовывали пользователей на их вредоносные копии. Однако в последних версиях трояна данный функционал отсутствует.
Когда ботнет достиг таких размеров, что его уже нельзя было игнорировать, специалисты Qihoo 360 скооперировались с коллегами из компании Baidu для его уничтожения. 14 мая нынешнего года они провели совместную операцию по отключению ряда элементов инфраструктуры ботнета, большая часть которых использовала принадлежащий Baidu сервис для хостинга изображений Tieba. Тем не менее, отключение ботнета является временным, поскольку остальные элементы его инфраструктуры по-прежнему работают.