La botnet DoubleGuns se ha convertido en uno de los malware más importantes de su categoría en China. Se ha convertido en una gran amenaza en los últimos años y ya ha causado numerosas infecciones en miles de computadoras..
DoubleGuns Botnet emerge como una de las principales amenazas en China
Los usuarios chinos son uno de los más atacados por el malware, ya que hay muchas campañas personalizadas contra ellos.. The DoubleGuns se ha convertido en un malware líder que se ha convertido en una amenaza muy peligrosa.
Ha sido activo desde al menos 2017 donde se identificaron las primeras muestras. Con los años, el grupo de hackers(s) que están detrás de esto, han utilizado varias estrategias para infectar a los usuarios objetivo. En general, todos los usuarios de computadoras se ven afectados, no se ha encontrado un énfasis particular en cierto tipo de usuario. La táctica principal de distribución se basa en crear aplicaciones y archivos infectados que incluyen el ejecutable malicioso principal. Los ejemplos más comunes incluyen los siguientes:
- Documentos macro-Infected — Pueden ser de todos los tipos populares: documentos de texto, presentaciones, hojas de cálculo y bases de datos. Tan pronto como sean abiertas por las víctimas, aparecerá una ventana pidiéndoles que ejecuten los scripts incluidos.. Esto activará la instalación de malware.
- Archivos individuales — El código del virus puede implantarse en archivos individuales como parches, complementos, ejecutables y “grietas”.
- Instaladores de aplicaciones — Muchas infecciones de virus se realizan integrando el código de malware necesario en paquetes de configuración de software. Incluyen aplicaciones populares que suelen instalar los usuarios finales: suites creatividad, utilidades del sistema, herramientas de productividad y etc..
Tan pronto como una de las muestras haya infectado una computadora con Windows, se ejecutará la secuencia de comportamiento incorporada incluida. Como muchas de las infecciones se hacen descargando y ejecutando copias piratas de juegos y aplicaciones populares, las acciones se ejecutarán de inmediato. Una acción peligrosa de malware que se ejecuta es el Infección MBR — esto reemplazará el registro de arranque maestro de las computadoras afectadas. Esto puede reemplazar las opciones de arranque ordinarias, hacer que sea imposible ingresar a los menús de recuperación y etc..
Una acción relacionada es la reemplazo de controladores de dispositivo lo que permitirá una infección profunda similar a un troyano en el sistema operativo. Los controladores de dispositivos son una parte esencial de cada computadora con Windows y tales acciones pueden permitir que el motor malicioso se conecte a aplicaciones del sistema y servicios importantes. Recopilación de información se hace usando estos métodos. Los datos obtenidos pueden revelar información personal sobre los usuarios., métricas de máquina y credenciales almacenadas. Se hace especial hincapié en Información de la cuenta de Steam — los datos serán secuestrados del servicio del cliente del juego instalado.
DoubleGuns Botnet cuando se instala localmente también implementará un módulo de adware. Esto desplegará anuncios intrusivos y contenido de spam para los visitantes. Ejemplos comunes pueden ser páginas de inicio de phishing o enlaces de afiliados a productos y servicios. El contenido preparado se puede iniciar en las ventanas del navegador o cuando se inicia este software. El método común es reemplazar la configuración predeterminada que conducirá a redirecciones a dichas páginas.. Se engañará a las víctimas para que crean que están accediendo a un servicio o página de empresa legítimos..
La botnet DoubleGuns cuando se instala en una computadora determinada también secuestrar el tráfico web — Esto puede incluir visitas a páginas de servicios en línea, mensajes de correo electrónico, comunicaciones con amigos y familiares y etc..
El número de víctimas de botnets DoubleGuns crece exponencialmente a medida que se reclutan más y más computadoras.. Todos los hosts infectados se comunicarán con un servidor prescrito controlado por piratas informáticos que realizará un seguimiento de la cantidad de hosts contaminados. Sus recursos concentrados pueden usarse luego para otros propósitos nefastos como ataques distribuidos de denegación de servicio y operaciones de sabotaje..