La botnet DoubleGuns è diventata uno dei malware più significativi della sua categoria in Cina. Si è sviluppato in una grave minaccia negli ultimi anni e ha già causato numerose infezioni a migliaia di computer.
DoubleGuns Botnet emerge come una delle principali minacce in Cina
Gli utenti cinesi sono tra i più colpiti dal malware in quanto vi sono molte campagne su misura per loro. The DoubleGuns È diventato un malware leader che è diventato una minaccia molto pericolosa.
È stato attivo da almeno 2017 dove sono stati identificati i primi campioni di esso. Nel corso degli anni il gruppo di hacking(s) che sono dietro di esso hanno usato varie strategie per infettare gli utenti target. Complessivamente tutti gli utenti di computer sono interessati, non è stata trovata un'enfasi particolare su un certo tipo di utente. La tattica di distribuzione principale si basa sulla creazione applicazioni e file infetti che include il principale eseguibile dannoso. Esempi comuni sono i seguenti:
- Documenti Macro-Infected — Essi possono essere di tutti i tipi popolari: documenti di testo, presentazioni, fogli di calcolo e database. Non appena vengono aperte dalle vittime, viene visualizzata una finestra che chiede loro di eseguire gli script inclusi. Ciò attiverà l'installazione del malware.
- File individuali — Il codice del virus può essere impiantato in singoli file come patch, add-ons, eseguibili e “crepe”.
- Installatori di app — Molte infezioni da virus vengono eseguite integrando il codice malware necessario nei bundle di installazione del software. Includono applicazioni popolari che sono spesso installate dagli utenti finali: suite creatività, utilità di sistema, strumenti di produttività e ecc.
Non appena uno dei campioni ha infettato un computer Windows, verrà eseguita la sequenza di comportamento integrata inclusa. Come molte delle infezioni vengono eseguite scaricando ed eseguendo copie pirata di giochi e applicazioni popolari, le azioni verranno eseguite immediatamente. Una pericolosa azione malware che viene eseguita è la Infezione da MBR — questo sostituirà il record di avvio principale dei computer interessati. Questo può sostituire le normali opzioni di avvio, rendere impossibile l'accesso ai menu di ripristino e così via.
Un'azione correlata è la sostituzione dei driver di dispositivo che consentirà una profonda infezione da Trojan nel sistema operativo. I driver di dispositivo sono una parte essenziale di ogni computer Windows e tali azioni possono consentire al motore dannoso di collegarsi ad applicazioni di sistema e servizi importanti. Raccolta di informazioni viene fatto usando questi metodi. I dati ottenuti possono rivelare informazioni personali sugli utenti, metriche della macchina e credenziali archiviate. Viene data particolare enfasi Informazioni sull'account Steam — i dati verranno dirottati dal servizio client di gioco installato.
La Botnet DoubleGuns installata localmente implementerà anche a modulo adware. Ciò distribuirà annunci intrusivi e contenuti spam ai visitatori. Esempi comuni possono essere landing page di phishing o link di affiliazione a prodotti e servizi. Il contenuto preparato può essere avviato nelle finestre del browser o all'avvio di questi software. Il metodo comune è sostituire le impostazioni predefinite che porteranno a reindirizzamenti a tali pagine. Le vittime saranno truffate nel credere che stiano accedendo a un servizio legittimo o alla pagina dell'azienda.
Anche la botnet DoubleGuns installata su un determinato computer dirottare il traffico web — questo può includere visite alla pagina di servizi online, e-mail, comunicazioni con amici e familiari, ecc.
Il numero di vittime di botnet DoubleGuns cresce esponenzialmente man mano che vengono reclutati sempre più computer. Tutti gli host infetti comunicheranno con un server controllato da hacker prescritto che terrà traccia del numero di host contaminati. Le loro risorse concentrate possono quindi essere ulteriormente utilizzate per altri scopi nefasti come attacchi di negazione del servizio distribuiti e operazioni di sabotaggio.