Het DoubleGuns-botnet is een van de belangrijkste malware in zijn categorie in China geworden. Het is de afgelopen jaren uitgegroeid tot een grote bedreiging en heeft al duizenden computers geïnfecteerd.
DoubleGuns Botnet komt naar voren als een van de toonaangevende bedreigingen in China
Chinese gebruikers zijn een van de meest getargete malware omdat er veel campagnes zijn die op maat zijn gemaakt. De DoubleGuns Het is uitgegroeid tot een toonaangevende malware die een zeer gevaarlijke bedreiging is geworden.
Het is geweest actief sinds tenminste 2017 waar de eerste monsters ervan werden geïdentificeerd. Door de jaren heen de hackgroep(s) die erachter zitten, hebben verschillende strategieën gebruikt om de doelgebruikers te infecteren. Over het algemeen worden alle computergebruikers getroffen, een bijzondere nadruk op een bepaald type gebruiker is niet gevonden. De belangrijkste distributietactiek is gebaseerd op creëren geïnfecteerde applicaties en bestanden waaronder het belangrijkste schadelijke uitvoerbare bestand. Bekende voorbeelden zijn de volgende:
- -Macro Infected Documents — Ze kunnen van alle populaire types: tekstdocumenten, presentaties, spreadsheets en databases. Zodra ze door de slachtoffers worden geopend, verschijnt er een venster waarin hen wordt gevraagd de meegeleverde scripts uit te voeren. Hierdoor wordt de malware-installatie geactiveerd.
- Individuele bestanden — De viruscode kan worden geïmplanteerd in individuele bestanden zoals patches, add-ons, uitvoerbare bestanden en “barsten”.
- App-installatieprogramma's — Veel virusinfecties worden uitgevoerd door de noodzakelijke malwarecode te integreren in software-installatiebundels. Ze bevatten populaire applicaties die vaak door eindgebruikers worden geïnstalleerd: creativiteit suites, nut van het systeem, productiviteitstools en etc.
Zodra een van de monsters een Windows-computer heeft geïnfecteerd, wordt de meegeleverde ingebouwde gedragsreeks uitgevoerd. Omdat veel van de infecties worden gedaan door piratenkopieën van populaire games en applicaties te downloaden en uit te voeren, de acties worden onmiddellijk uitgevoerd. Een gevaarlijke malware-actie die wordt uitgevoerd is de MBR-infectie — dit zal het master-opstartrecord van de getroffen computers vervangen. Dit kan de gewone opstartopties vervangen, het onmogelijk maken om naar herstelmenu's te gaan en dergelijke.
Een gerelateerde actie is de vervanging van apparaatstuurprogramma's wat een diepe Trojan-achtige infectie in het besturingssysteem mogelijk maakt. Apparaatstuurprogramma's zijn een essentieel onderdeel van elke Windows-computer en dergelijke acties kunnen ervoor zorgen dat de kwaadaardige engine verbinding maakt met systeemtoepassingen en belangrijke services. Informatie verzamelen wordt gedaan met behulp van deze methoden. De verkregen gegevens kunnen persoonlijke informatie over de gebruikers onthullen, machinestatistieken en opgeslagen referenties. Er wordt bijzondere nadruk op gelegd Steam-accountgegevens — de gegevens worden gekaapt van de geïnstalleerde game-clientservice.
Het DoubleGuns Botnet zal, indien lokaal geïnstalleerd, ook een implementeren adware-module. Dit zal opdringerige advertenties en spam-inhoud naar de bezoekers sturen. Bekende voorbeelden zijn phishing-bestemmingspagina's of gelieerde links naar producten en services. De voorbereide inhoud kan worden gestart in browservensters of wanneer deze software wordt gestart. De gebruikelijke methode is om de standaardinstellingen te vervangen, die zullen leiden tot omleidingen naar dergelijke pagina's. De slachtoffers worden opgelicht door te geloven dat ze toegang hebben tot een legitieme dienst of bedrijfspagina.
Het DoubleGuns-botnet zal, indien geïnstalleerd op een bepaalde computer, dat ook doen webverkeer kapen — dit kan paginabezoeken aan onlinediensten omvatten, e-mails, communicatie met vrienden en familie en etc.
Het aantal DoubleGuns-botnet-slachtoffers neemt exponentieel toe naarmate er steeds meer computers in worden gerekruteerd. Alle geïnfecteerde hosts communiceren met een voorgeschreven door een hacker bestuurde server die het aantal besmette hosts bijhoudt. Hun geconcentreerde middelen kunnen vervolgens verder worden gebruikt voor andere snode doeleinden, zoals gedistribueerde denial-of-service-aanvallen en sabotage-operaties.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: