O botnet DoubleGuns se tornou um dos malwares mais significativos de sua categoria na China. Tornou-se uma grande ameaça nos últimos anos e já causou inúmeras infecções a milhares de computadores.
DoubleGuns Botnet surge como uma das principais ameaças na China
Os usuários chineses são um dos mais segmentados por malware, pois existem muitas campanhas personalizadas contra eles.. The DoubleGuns Tornou-se um malware líder que se tornou uma ameaça muito perigosa.
Tem sido ativo desde que pelo menos 2017 onde foram identificadas as primeiras amostras. Ao longo dos anos, o grupo de hackers(s) que estão por trás dele usaram várias estratégias para infectar os usuários-alvo. No geral, todos os usuários de computador são afetados, uma ênfase particular em um determinado tipo de usuário não foi encontrada. A principal tática de distribuição depende da criação aplicativos e arquivos infectados que incluem o principal executável malicioso. Exemplos comuns incluem o seguinte:
- Documentos infectados-macro — Eles podem ser de todos os tipos populares: documentos de texto, apresentações, planilhas e bancos de dados. Assim que elas forem abertas pelas vítimas, uma janela aparecerá pedindo para que eles executem os scripts incluídos. Isso acionará a instalação do malware.
- Arquivos Individuais — O código do vírus pode ser implantado em arquivos individuais, como patches, add-ons, executáveis e “rachaduras”.
- Instaladores de aplicativos — Muitas infecções por vírus são feitas através da integração do código de malware necessário nos pacotes de configuração de software. Eles incluem aplicativos populares que são frequentemente instalados pelos usuários finais: suites criatividade, utilidades do sistema, ferramentas de produtividade e etc.
Assim que uma das amostras infectar um computador Windows, a sequência de comportamento interna incluída será executada. Como muitas infecções são feitas baixando e executando cópias piratas de jogos e aplicativos populares, as ações serão executadas imediatamente. Uma ação perigosa de malware executada é a Infecção por MBR — isso substituirá o registro mestre de inicialização dos computadores afetados. Isso pode substituir as opções de inicialização comuns, tornar impossível entrar em menus de recuperação e etc..
Uma ação relacionada é a substituição de drivers de dispositivo que permitirá uma infecção profunda do tipo Trojan no sistema operacional. Os drivers de dispositivo são uma parte essencial de qualquer computador com Windows e essas ações podem permitir que o mecanismo malicioso se conecte a aplicativos do sistema e serviços importantes. Coleta de informações é feito usando esses métodos. Os dados obtidos podem revelar informações pessoais sobre os usuários, métricas de máquina e credenciais armazenadas. Uma ênfase particular é feita em Informações da conta Steam — os dados serão seqüestrados do serviço de cliente do jogo instalado.
O DoubleGuns Botnet, quando instalado localmente, também implementará um módulo de adware. Isso implantará anúncios intrusivos e conteúdo de spam para os visitantes. Exemplos comuns podem ser páginas de destino de phishing ou links afiliados a produtos e serviços. O conteúdo preparado pode ser iniciado nas janelas do navegador ou quando esses softwares são iniciados. O método comum é substituir as configurações padrão que levarão a redirecionamentos para essas páginas. As vítimas serão enganadas a acreditar que estão acessando um serviço legítimo ou página da empresa.
A botnet DoubleGuns, quando instalada em um determinado computador, também seqüestrar tráfego da web — isso pode incluir visitas à página de serviços online, e-mails, comunicações com amigos e familiares e etc.
O número de vítimas de botnet da DoubleGuns cresce exponencialmente à medida que mais e mais computadores são recrutados para ele. Todos os hosts infectados se comunicarão com um servidor controlado por hacker prescrito, que acompanhará o número de hosts contaminados. Seus recursos concentrados podem ser usados para outros fins nefastos, como ataques distribuídos de negação de serviço e operações de sabotagem.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: