Pesquisadores de cibersegurança estão alertando para um novo malware botnet chamado HTTPBot, que tem sido usado primordialmente para atacar a indústria de jogos, além de empresas de tecnologia e instituições educacionais na China.
"Nos últimos meses, ele expandiu de forma agressiva, utilizando continuamente dispositivos infectados para lançar ataques externos", disse a NSFOCUS em um relatório publicado esta semana.
Empregando ataques de HTTP Flood altamente simulados e técnicas de ofuscação de características dinâmicas, ele consegue contornar mecanismos de detecção baseados em regras tradicionais.
HTTPBot, primeiro identificado na natureza em agosto de 2024, recebeu este nome pelo uso de protocolos HTTP para lançar ataques de negação de serviço distribuído.
Escrito em Golang, é algo anômalo dado o seu foco em sistemas Windows.
O trojan botnet baseado em Windows é notável pelo seu uso em ataques precisamente direcionados a interfaces de negócios de alto valor, como sistemas de login e de pagamento de jogos.
"Este ataque com precisão 'cirúrgica' representa uma ameaça sistêmica para indústrias que dependem de interação em tempo real", disse a empresa com sede em Pequim.
HTTPBot marca uma mudança de paradigma em ataques DDoS, movendo-se de 'supressão de tráfego indiscriminada' para 'estrangulamento de negócios de alta precisão'.
Estima-se que o HTTPBot tenha emitido não menos que 200 instruções de ataque desde o início de abril de 2025, com ataques projetados para atingir a indústria de jogos, empresas de tecnologia, instituições educacionais e portais de turismo na China.
Uma vez instalado e executado, o malware oculta sua interface gráfica do usuário (GUI) para evitar o monitoramento do processo tanto por usuários quanto por ferramentas de segurança, num esforço para aumentar a discrição dos ataques.
Ele também recorre à manipulação não autorizada do Registro do Windows para garantir que seja executado automaticamente na inicialização do sistema.
O malware botnet procede então para estabelecer contato com um servidor de comando e controle (C2) para aguardar mais instruções para executar ataques de flood HTTP contra alvos específicos, enviando um alto volume de solicitações HTTP.
Ele suporta vários módulos de ataque:
-BrowserAttack, que envolve o uso de instâncias ocultas do Google Chrome para imitar tráfego legítimo enquanto esgota os recursos do servidor;
-HttpAutoAttack, que utiliza uma abordagem baseada em cookie para simular sessões legítimas com precisão;
-HttpFpDlAttack, que usa o protocolo HTTP/2 e opta por uma abordagem que busca aumentar a carga da CPU no servidor, forçando-o a retornar grandes respostas;
-WebSocketAttack, que usa protocolos "ws://" e "wss://" para estabelecer conexões WebSocket
PostAttack, que força o uso de HTTP POST para conduzir o ataque;
-CookieAttack, que adiciona um fluxo de processamento de cookie com base no método de ataque BrowserAttack;
"Famílias de Botnet DDoS tendem a se concentrar em plataformas Linux e IoT", disse a NSFOCUS.
No entanto, a família HTTPBot Botnet tem como alvo específico a plataforma Windows.
Simulando profundamente camadas de protocolo e mimetizando comportamento de navegador legítimo, o HTTPBot burla defesas que dependem da integridade do protocolo.
Ele também ocupa continuamente recursos de sessão do servidor através de caminhos de URL randomizados e mecanismos de reposição de cookies, em vez de depender apenas do volume de tráfego.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...