Le botnet DoubleGuns est devenu l'un des logiciels malveillants les plus importants de sa catégorie en Chine. Il est devenu une menace majeure ces dernières années et a déjà causé de nombreuses infections à des milliers d'ordinateurs.
DoubleGuns Botnet apparaît comme l'une des principales menaces en Chine
Les utilisateurs chinois sont l'un des plus ciblés par les logiciels malveillants car de nombreuses campagnes sont conçues contre eux. The DoubleGuns Il est devenu un malware majeur qui est devenu une menace très dangereuse.
Ça a été actif depuis au moins 2017 où les premiers échantillons ont été identifiés. Au fil des ans, le groupe de piratage(s) qui sont derrière elle ont utilisé diverses stratégies pour infecter les utilisateurs cibles. Globalement, tous les utilisateurs d'ordinateurs sont concernés, un accent particulier sur un certain type d'utilisateur n'a pas été trouvé. La principale tactique de distribution repose sur la création applications et fichiers infectés qui incluent le principal exécutable malveillant. Des exemples courants sont les suivants:
- Documents macro-Infected — Ils peuvent être de tous les types populaires: des documents texte, présentations, feuilles de calcul et bases de données. Dès qu'ils seront ouverts par les victimes, une fenêtre apparaîtra leur demandant d'exécuter les scripts inclus. Cela déclenchera l'installation du logiciel malveillant.
- Fichiers individuels — Le code du virus peut être implanté dans des fichiers individuels tels que des correctifs, add-ons, exécutables et “fissures”.
- Installateurs d'applications — De nombreuses infections virales sont effectuées en intégrant le code malveillant nécessaire dans les ensembles de configuration logicielle. Ils incluent des applications populaires qui sont souvent installées par les utilisateurs finaux: suites de créativité, utilitaires système, outils de productivité et etc..
Dès qu'un des exemples a infecté un ordinateur Windows, la séquence de comportement intégrée incluse sera exécutée. Comme la plupart des infections se font en téléchargeant et en exécutant des copies pirates de jeux et d'applications populaires, les actions seront exécutées immédiatement. Une action malveillante dangereuse exécutée est la Infection MBR — cela remplacera l'enregistrement de démarrage principal des ordinateurs concernés. Cela peut remplacer les options de démarrage ordinaires, rendre impossible l'accès aux menus de récupération, etc..
Une action connexe est la remplacement des pilotes de périphériques ce qui permettra une infection profonde de type cheval de Troie dans le système d'exploitation. Les pilotes de périphériques sont une partie essentielle de chaque ordinateur Windows et de telles actions peuvent permettre au moteur malveillant de se connecter aux applications système et aux services importants. La collecte d'informations se fait en utilisant ces méthodes. Les données obtenues peuvent révéler des informations personnelles sur les utilisateurs, métriques de la machine et informations d'identification stockées. Un accent particulier est mis sur Informations sur le compte Steam — les données seront détournées du service client de jeu installé.
Le DoubleGuns Botnet installé localement implémentera également un module d'adware. Cela déploiera des publicités intrusives et du contenu spam aux visiteurs. Des exemples courants peuvent être des pages de destination de phishing ou des liens d'affiliation vers des produits et services. Le contenu préparé peut être lancé dans les fenêtres du navigateur ou lorsque ces logiciels sont lancés. La méthode courante consiste à remplacer les paramètres par défaut, ce qui entraînera des redirections vers ces pages.. Les victimes seront escroquées en leur faisant croire qu'elles accèdent à un service légitime ou à une page d'entreprise.
Le botnet DoubleGuns installé sur un ordinateur donné sera également détourner le trafic Web — cela peut inclure des visites de pages de services en ligne, e-mails, communications avec les amis et la famille et etc..
Le nombre de victimes du botnet DoubleGuns augmente de façon exponentielle à mesure que de plus en plus d'ordinateurs y sont recrutés. Tous les hôtes infectés communiqueront avec un serveur contrôlé par un pirate prescrit qui gardera une trace du nombre d'hôtes contaminés. Leurs ressources concentrées peuvent ensuite être utilisées à d'autres fins néfastes telles que les attaques par déni de service distribuées et les opérations de sabotage.