<div id="post_message_792325">

HTTPBot атакует не всех подряд, а точно в сердце — и именно туда, где деньги и логины.<br/>
<br/>
Специалисты из китайской компании NSFOCUS <a href="https://nsfocusglobal.com/high-risk-warning-for-windows-ecosystem-new-botnet-family-httpbot-is-expanding" target="_blank">зафиксировали </a>активную кампанию новой ботнет-программы под названием HTTPBot, которая нацелена на игровые сервисы, технологические компании и образовательные учреждения. За последние месяцы заражённая инфраструктура стремительно расширялась и использовалась для точечных атак, причём атаки не носят хаотичный характер — наоборот, они направлены на ключевые бизнес-системы с хирургической точностью.<br/>
<br/>
HTTPBot впервые появился в «дикой природе» в августе 2024 года. Он выделяется среди других вредоносных программ тем, что ориентирован на Windows, хотя подавляющее большинство ботнетов до сих пор эксплуатировали Linux и IoT-среды. Вредонос разработан на языке Golang и использует HTTP-протоколы для запуска распределённых атак отказа в обслуживании (DDoS), делая упор не на объём трафика, а на качество и правдоподобность имитации пользовательской активности.<br/>
<br/>
По данным отчёта NSFOCUS, с апреля 2025 года HTTPBot успел сгенерировать не менее 200 различных команд для атак. Целями становились в основном игровые логины, платёжные шлюзы и бизнес-сервисы. В список пострадавших также входят образовательные платформы и туристические порталы.<br/>
<br/>
Особенностью HTTPBot является использование целого арсенала модулей для DDoS-атак:<ul><li>BrowserAttack — запуск скрытых экземпляров браузера Google Chrome для создания иллюзии реальной пользовательской активности;</li>
</ul><ul><li>HttpAutoAttack — применение cookies для эмуляции настоящих сессий;</li>
</ul><ul><li>HttpFpDlAttack — атака с помощью HTTP/2, заставляющая сервер генерировать ресурсоёмкие ответы;</li>
</ul><ul><li>WebSocketAttack — задействование соединений по протоколам ws:// и wss://;</li>
</ul><ul><li>PostAttack — использование метода POST вместо GET, что усложняет фильтрацию;</li>
</ul><ul><li>CookieAttack — расширение BrowserAttack с генерацией куки-данных.</li>
</ul>Для повышения скрытности HTTPBot маскирует графический интерфейс, исключая визуальное присутствие в системе, и вносит изменения в реестр Windows, чтобы запускаться при старте устройства. После установки он подключается к управляющему C2-серверу и дожидается команд для начала атаки.<br/>
<br/>
Главная особенность этой вредоносной кампании — смещение акцента с классических DDoS-методов, основанных на грубой силе и массивных потоках данных, к тактике точечных воздействий. HTTPBot «душит» серверы не объёмом запросов, а постоянным захватом сессионных ресурсов, обманом системы на уровне протоколов и имитацией легитимного поведения браузеров.<br/>
<br/>
Такая эволюция в подходах представляет угрозу для всех отраслей, чья работа критически зависит от стабильного и быстрого взаимодействия в реальном времени. Особенно это касается игровых компаний, где замедление доступа к логину или сбои в платёжных системах могут привести к прямым финансовым потерям и массовому оттоку пользователей.<br/>
<br/>
HTTPBot представляет собой новое поколение инструментов цифровой диверсии, которые становятся всё более изощрёнными, скрытными и разрушительными — особенно на фоне продолжающейся зависимости бизнеса от онлайновых сервисов.<br/>
<br/>
<a href="https://www.securitylab.ru/news/559448.php" target="_blank">@ SecurityLab </a>
</div>