Поделиться
Новый ботнет Tsundere атакует пользователей Windows
Эксперты Kaspersky GReAT (глобального центра исследований и анализа угроз «Лаборатории Касперского») обнаружили новый ботнет и назвали его Tsundere. Злоумышленники атакуют устройства на Windows, используя PowerShell-скрипты или MSI-установщик. Вредоносный имплант, устанавливающий бот на заражённые устройства, распространяется, в частности, под видом инсталлятора для популярных игр, например Valorant, CS2 и R6x. Решения «Лаборатории Касперского» зафиксировали атаки Tsundere в Мексике и Чили. При этом, судя по техническому анализу, бот пытается избежать заражения систем в странах СНГ, однако детекты были обнаружены также в России и Казахстане. Эксперты подчёркивают: этот ботнет продолжает расширяться и представляет значимую киберугрозу.
В Tsundere для размещения адресов командных серверов применяются смарт-контракты Web3. Такой приём набирает популярность среди злоумышленников, так как повышает устойчивость инфраструктуры ботнета. Судя по панели управления ботнетом, существует два формата распространения имплантов, которые генерируются автоматически: с использованием MSI-установщика и PowerShell-скриптов. Эти импланты устанавливают на скомпрометированном устройстве пользователя бот, который может непрерывно исполнять JavaScript-код. При этом Tsundere использует WebSocket в качестве основного протокола для взаимодействия с командным сервером злоумышленников.
Tsundere использует блокчейн Ethereum, чтобы переключаться между командными серверами атакующих. Ботнет имеет собственную панель управления и торговую площадку, объединённые в единый интерфейс.
Экспертный анализ показал, что с высокой долей вероятности разработчики ботнета Tsundere являются русскоязычными. На это в том числе указывают элементы кода. Кроме того, исследование выявило связь между ботнетом Tsundere и 123 Stealer — стилером, распространяемым на теневых форумах.
«Анализ Tsundere показал, как быстро злоумышленники адаптируются к современным условиям: судя по всему, они уже неоднократно пытались обновить свой инструментарий. После перехода на механизмы Web3 инфраструктура атакующих стала более гибкой. Мы видим, что импланты продолжают распространяться под видом инсталляторов для игр, также прослеживается связь с ранее обнаруженной вредоносной активностью. Поэтому, вероятно, ботнет продолжит расширяться», — сказал Дмитрий Галов, руководитель Kaspersky GReAT в России.
Чтобы защититься от подобных киберугроз, «Лаборатория Касперского» рекомендует: использовать только лицензионное ПО, а также официальные игровые платформы от проверенных разработчиков; установить надёжное защитное решение, эффективность технологий которого подтверждается независимыми тестами; не скачивать файлы из сомнительных источников; настороженно относиться к письмам, в которых предлагают установить приложение с неизвестного сайта; регулярно обновлять операционную систему и установленные программы, использовать сложные пароли и двухфакторную аутентификацию для своих аккаунтов.
Поделиться
Короткая ссылка
