Ботнет HTTPBot совершил более 200 атак на компании игрового и технологического секторов

[ips]

Исследователи обнаружили новый ботнет HTTPBot, который используется для атак на игровые и технологические компании, а также образовательные учреждения и туристические порталы в Китае.
Специалисты NSFOCUS сообщили, что за последние несколько месяцев ботнет активно развивался, постоянно используя зараженные устройства для проведения атак.

«Используя атаки типа HTTP-Flood с высокой степенью имитации и динамические методы обфускации функций, он обходит традиционные механизмы обнаружения, основанные на правилах», — говорят эксперты.

Впервые HTTPBot был замечен еще в августе 2024 года и получил свое название благодаря применению HTTP-протоколов для DDoS-атак. По словам исследователей, написанный на языке Go, вредонос является своего рода аномалией, поскольку его целью являются системы под управлением Windows.

«Семейства DDoS-ботнетов, как правило, концентрируются на Linux и IoT. Однако семейство ботнетов HTTPBot нацелено именно на Windows, — объясняют в NSFOCUS. — Глубоко симулируя уровни протокола и имитируя нормальное поведение браузера, HTTPBot обходит средства защиты, которые полагаются на целостность протоколов. Кроме того, вредонос постоянно занимает ресурсы серверных сессий с помощью рандомизированных путей URL и механизмов cookie replenishment, а не просто полагается на большие объемы трафика».

Также малварь примечательна тем, что используется для совершения узконаправленных и точных атак на такие объекты, как платежные системы и системы авторизации в играх.

«Точность этих атак подобна скальпелю, и HTTPBot представляет собой системную угрозу для отраслей, которые зависят от взаимодействий в режиме реального времени, — пишут специалисты. — HTTPBot знаменует собой смену парадигмы в DDoS-атаках и переходит от "беспорядочного подавления трафиком" к "высокоточному удушению бизнеса"».

По оценкам экспертов, с начала апреля 2025 года HTTPBot использовался для совершения примерно 200 атак.

После установки и запуска малварь скрывает свой GUI, чтобы обойти мониторинг процессов и скрыться как от пользователей, так и от защитных решений. Кроме того, вредонос прописывается в реестре Windows, чтобы обеспечить себе автоматический запуск при каждом старте системы.
Затем малварь связывается со своим управляющим сервером и ожидает дальнейших инструкций для HTTP-атак на определенные цели. HTTPBot поддерживает различные модули:

• BrowserAttack — предполагает использование скрытых экземпляров Google Chrome для имитации легитимного трафика с одновременным истощением ресурсов сервера;
• HttpAutoAttack — использует основанный на cookie метод для имитации легитимных сессий;
• HttpFpDlAttack — использует протокол HTTP/2 и предлагает подход, направленный на увеличение нагрузки на процессор сервера, вынуждая его к возврату больших ответов;
• WebSocketAttack — использует ws:// и wss:// для установления WebSocket-соединений;
• PostAttack — использует HTTP POST для проведения атак;
• CookieAttack — добавляет поток обработки cookie, основываясь на методе BrowserAttack.