Специалисты отчитались об активной кампании новой ботнет-программы под названием HTTPBot

За последние месяцы заражённая инфраструктура стремительно расширялась и использовалась для точечных атак, причём атаки не носят хаотичный характер — наоборот, они направлены на ключевые бизнес-системы с хирургической точностью.

HTTPBot впервые появился в августе 2024 года, сообщает Securitylab. Он выделяется среди других вредоносных программ тем, что ориентирован на Windows, хотя подавляющее большинство ботнетов до сих пор эксплуатировали Linux и IoT-среды. Вредонос разработан на языке Golang и использует HTTP-протоколы для запуска распределённых атак отказа в обслуживании (DDoS), делая упор не на объём трафика, а на качество и правдоподобность имитации пользовательской активности.

По данным отчёта NSFOCUS, с апреля 2025 года HTTPBot успел сгенерировать не менее 200 различных команд для атак. Целями становились в основном игровые логины, платёжные шлюзы и бизнес-сервисы. В список пострадавших также входят образовательные платформы и туристические порталы.

Особенностью HTTPBot является использование целого арсенала модулей для DDoS-атак:

• BrowserAttack — запуск скрытых экземпляров браузера Google Chrome для создания иллюзии реальной пользовательской активности;
• HttpAutoAttack — применение cookies для эмуляции настоящих сессий;
• HttpFpDlAttack — атака с помощью HTTP/2, заставляющая сервер генерировать ресурсоёмкие ответы;
• WebSocketAttack — задействование соединений по протоколам ws:// и wss://;
• PostAttack — использование метода POST вместо GET, что усложняет фильтрацию;
• CookieAttack — расширение BrowserAttack с генерацией куки-данных.

Для повышения скрытности HTTPBot маскирует графический интерфейс, исключая визуальное присутствие в системе, и вносит изменения в реестр Windows, чтобы запускаться при старте устройства. После установки он подключается к управляющему C2-серверу и дожидается команд для начала атаки.

Главная особенность этой вредоносной кампании — смещение акцента с классических DDoS-методов, основанных на грубой силе и массивных потоках данных, к тактике точечных воздействий. HTTPBot «душит» серверы не объёмом запросов, а постоянным захватом сессионных ресурсов, обманом системы на уровне протоколов и имитацией легитимного поведения браузеров.

Такая эволюция в подходах представляет угрозу для всех отраслей, чья работа критически зависит от стабильного и быстрого взаимодействия в реальном времени. Особенно это касается игровых компаний, где замедление доступа к логину или сбои в платёжных системах могут привести к прямым финансовым потерям и массовому оттоку пользователей.

HTTPBot представляет собой новое поколение инструментов цифровой диверсии, которые становятся всё более изощрёнными, скрытными и разрушительными — особенно на фоне продолжающейся зависимости бизнеса от онлайновых сервисов.