Das DoubleGuns-Botnetz ist zu einer der bedeutendsten Malware seiner Kategorie in China geworden. Es hat sich in den letzten Jahren zu einer großen Bedrohung entwickelt und bereits zahlreiche Infektionen bei Tausenden von Computern verursacht.
DoubleGuns Botnet ist eine der größten Bedrohungen in China
Chinesische Benutzer sind eine der am meisten von Malware betroffenen, da es viele Kampagnen gibt, die auf sie zugeschnitten sind. Die DoubleGuns Es hat sich zu einer führenden Malware entwickelt, die zu einer sehr gefährlichen Bedrohung geworden ist.
Es ist gewesen seit mindestens aktiv 2017 wo die ersten Proben davon identifiziert wurden. Im Laufe der Jahre die Hacking-Gruppe(s) die dahinter stehen, haben verschiedene Strategien angewendet, um die Zielbenutzer zu infizieren. Insgesamt sind alle Computerbenutzer betroffen, Eine besondere Betonung eines bestimmten Benutzertyps wurde nicht gefunden. Die Hauptverteilungstaktik beruht auf dem Erstellen infizierte Anwendungen und Dateien Dazu gehört auch die wichtigste schädliche ausführbare Datei. Typische Beispiele sind die folgenden:
- Makro-Infizierte Dokumente — Sie können von allen gängigen Typen sein: Textdokumente, Präsentationen, Tabellen und Datenbanken. Sobald sie von den Opfern geöffnet werden, wird ein Fenster angezeigt, in dem sie aufgefordert werden, die enthaltenen Skripte auszuführen. Dies löst die Malware-Installation aus.
- Einzelne Dateien — Der Virencode kann in einzelne Dateien wie Patches implantiert werden, Add-ons, ausführbare Dateien und “Risse”.
- App-Installationsprogramme — Viele Virusinfektionen werden durch die Integration des erforderlichen Malware-Codes in Software-Setup-Bundles durchgeführt. Dazu gehören beliebte Anwendungen, die häufig von Endbenutzern installiert werden: Kreativität Suiten, System-Utilities, Produktivitätswerkzeuge und etc..
Sobald eines der Beispiele einen Windows-Computer infiziert hat, wird die enthaltene integrierte Verhaltenssequenz ausgeführt. Viele der Infektionen werden durch Herunterladen und Ausführen von Piratenkopien beliebter Spiele und Anwendungen verursacht, Die Aktionen werden sofort ausgeführt. Eine gefährliche Malware-Aktion, die ausgeführt wird, ist die MBR-Infektion — Dadurch wird der Master-Boot-Datensatz der betroffenen Computer ersetzt. Dies kann die normalen Startoptionen ersetzen, machen es unmöglich, in Wiederherstellungsmenüs und so weiter zu gelangen.
Eine verwandte Aktion ist die Austausch von Gerätetreibern Dies ermöglicht eine tiefe trojanische Infektion des Betriebssystems. Gerätetreiber sind ein wesentlicher Bestandteil jedes Windows-Computers. Durch solche Aktionen kann die böswillige Engine eine Verbindung zu Systemanwendungen und wichtigen Diensten herstellen. Informationsbeschaffung wird mit diesen Methoden durchgeführt. Die erhaltenen Daten können persönliche Informationen über die Benutzer preisgeben, Maschinenmetriken und gespeicherte Anmeldeinformationen. Ein besonderer Schwerpunkt liegt auf Steam-Kontoinformationen — Die Daten werden vom installierten Spieleclientdienst entführt.
Das lokal installierte DoubleGuns-Botnetz implementiert auch a Adware-Modul. Dadurch werden aufdringliche Anzeigen und Spam-Inhalte für die Besucher bereitgestellt. Häufige Beispiele können Phishing-Zielseiten oder Affiliate-Links zu Produkten und Dienstleistungen sein. Der vorbereitete Inhalt kann in Browserfenstern oder beim Start dieser Software gestartet werden. Die übliche Methode besteht darin, die Standardeinstellungen zu ersetzen, die zu Weiterleitungen zu solchen Seiten führen. Die Opfer werden betrogen, zu glauben, dass sie auf eine legitime Dienst- oder Unternehmensseite zugreifen.
Das DoubleGuns-Botnetz wird auch installiert, wenn es auf einem bestimmten Computer installiert ist Web-Verkehr entführen — Dies kann Seitenbesuche bei Onlinediensten umfassen, E-Mails, Kommunikation mit Freunden und Familie und etc..
Die Anzahl der Opfer des DoubleGuns-Botnetzes wächst exponentiell, da immer mehr Computer eingestellt werden. Alle infizierten Hosts kommunizieren mit einem vorgeschriebenen, von Hackern kontrollierten Server, der die Anzahl der kontaminierten Hosts verfolgt. Ihre konzentrierten Ressourcen können dann für andere schändliche Zwecke wie verteilte Denial-of-Service-Angriffe und Sabotageoperationen weiter verwendet werden.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: