DoubleGuns-botnet er blevet en af de mest betydningsfulde malware i sin kategori i Kina. Det har udviklet sig til en stor trussel i de sidste par år og har allerede forårsaget mange infektioner på tusinder af computere.
DoubleGuns Botnet dukker op som en af de førende trusler i Kina
Kinesiske brugere er en af de mest målrettede af malware, da der er mange kampagner, der er skræddersyet mod dem. DoubleGuns Det er vokset til at være en førende malware, der er blevet en meget farlig trussel.
Det har været aktiv siden mindst 2017 hvor de første prøver af det blev identificeret. I årenes løb hacking gruppen(s) der ligger bag det, har brugt forskellige strategier for at inficere målbrugerne. Generelt er alle computerbrugere berørt, en særlig vægt på en bestemt type bruger er ikke fundet. Den vigtigste distributionstaktik er afhængig af at skabe inficerede applikationer og filer der inkluderer den vigtigste ondsindede eksekverbare. Almindelige eksempler omfatter følgende:
- Makro-inficerede dokumenter — De kan være af alle populære typer: tekstdokumenter, præsentationer, regneark og databaser. Så snart de er åbnet af ofrene, vises et vindue, der beder dem om at køre de inkluderede scripts. Dette vil udløse installationen af malware.
- Individuelle filer — Viruskoden kan implanteres i individuelle filer, såsom patches, add-ons, eksekverbare og “revner”.
- Appinstallatører — Mange virusinfektioner udføres ved at integrere den nødvendige malware-kode i bundter af softwareopsætning. De inkluderer populære applikationer, som ofte installeres af slutbrugere: kreativitet suiter, systemværktøjer, produktivitetsværktøjer osv.
Så snart en af prøverne har inficeret en Windows-computer, køres den inkluderede indbyggede adfærdssekvens. Som mange af infektionerne sker ved at downloade og køre piratkopier af populære spil og applikationer, handlingerne køres straks. En farlig malware-handling, der køres, er MBR-infektion — dette vil erstatte master boot record for de berørte computere. Dette kan erstatte de almindelige startindstillinger, gøre det umuligt at gå ind i genoprettelsesmenuer osv.
En relateret handling er udskiftning af enhedsdrivere hvilket giver mulighed for en dyb trojan-lignende infektion i operativsystemet. Enhedsdrivere er en væsentlig del af enhver Windows-computer, og sådanne handlinger kan tillade, at den ondsindede motor kobles til systemapplikationer og vigtige tjenester. indsamling udføres ved hjælp af disse metoder. De opnåede data kan afsløre personlige oplysninger om brugerne, maskindata og gemte legitimationsoplysninger. Der lægges særlig vægt på Steam-kontooplysninger — dataene vil blive kapret fra den installerede spilklienttjeneste.
DoubleGuns Botnet, når det installeres lokalt, implementerer også en adware-modul. Dette vil distribuere indgribende annoncer og spamindhold til de besøgende. Almindelige eksempler kan være phishing-destinationssider eller tilknyttede links til produkter og tjenester. Det forberedte indhold kan startes i browservinduer, eller når denne software lanceres. Den almindelige metode er at erstatte standardindstillingerne, som vil føre til omdirigeringer til sådanne sider. Ofrene bliver svindlet til at tro, at de får adgang til en legitim tjeneste eller firma-side.
DoubleGuns-botnet, når det installeres på en given computer, vil også kapre webtrafik — dette kan omfatte sidebesøg på onlinetjenester, emails, kommunikation med venner og familie osv.
Antallet af DoubleGuns botnet-ofre vokser eksponentielt, når flere og flere computere rekrutteres til det. Alle inficerede værter vil kommunikere med en ordineret hacker-kontrolleret server, der vil holde styr på antallet af forurenede værter. Deres koncentrerede ressourcer kan derefter bruges yderligere til andre ubehagelige formål, såsom distribuerede angreb på benægtelse og sabotage.