HTTPBot атакует не всех подряд, а точно в сердце — и именно туда, где деньги и логины.
Специалисты из китайской компании NSFOCUS
зафиксировали активную кампанию новой ботнет-программы под названием HTTPBot, которая нацелена на игровые сервисы, технологические компании и образовательные учреждения. За последние месяцы заражённая инфраструктура стремительно расширялась и использовалась для точечных атак, причём атаки не носят хаотичный характер — наоборот, они направлены на ключевые бизнес-системы с хирургической точностью.
HTTPBot впервые появился в «дикой природе» в августе 2024 года. Он выделяется среди других вредоносных программ тем, что ориентирован на Windows, хотя подавляющее большинство ботнетов до сих пор эксплуатировали Linux и IoT-среды. Вредонос разработан на языке Golang и использует HTTP-протоколы для запуска распределённых атак отказа в обслуживании (DDoS), делая упор не на объём трафика, а на качество и правдоподобность имитации пользовательской активности.
По данным отчёта NSFOCUS, с апреля 2025 года HTTPBot успел сгенерировать не менее 200 различных команд для атак. Целями становились в основном игровые логины, платёжные шлюзы и бизнес-сервисы. В список пострадавших также входят образовательные платформы и туристические порталы.
Особенностью HTTPBot является использование целого арсенала модулей для DDoS-атак:
- BrowserAttack — запуск скрытых экземпляров браузера Google Chrome для создания иллюзии реальной пользовательской активности;
- HttpAutoAttack — применение cookies для эмуляции настоящих сессий;
- HttpFpDlAttack — атака с помощью HTTP/2, заставляющая сервер генерировать ресурсоёмкие ответы;
- WebSocketAttack — задействование соединений по протоколам ws:// и wss://;
- PostAttack — использование метода POST вместо GET, что усложняет фильтрацию;
- CookieAttack — расширение BrowserAttack с генерацией куки-данных.
Для повышения скрытности HTTPBot маскирует графический интерфейс, исключая визуальное присутствие в системе, и вносит изменения в реестр Windows, чтобы запускаться при старте устройства. После установки он подключается к управляющему C2-серверу и дожидается команд для начала атаки.
Главная особенность этой вредоносной кампании — смещение акцента с классических DDoS-методов, основанных на грубой силе и массивных потоках данных, к тактике точечных воздействий. HTTPBot «душит» серверы не объёмом запросов, а постоянным захватом сессионных ресурсов, обманом системы на уровне протоколов и имитацией легитимного поведения браузеров.
Такая эволюция в подходах представляет угрозу для всех отраслей, чья работа критически зависит от стабильного и быстрого взаимодействия в реальном времени. Особенно это касается игровых компаний, где замедление доступа к логину или сбои в платёжных системах могут привести к прямым финансовым потерям и массовому оттоку пользователей.
HTTPBot представляет собой новое поколение инструментов цифровой диверсии, которые становятся всё более изощрёнными, скрытными и разрушительными — особенно на фоне продолжающейся зависимости бизнеса от онлайновых сервисов.
@ SecurityLab
05-26-2025, 12:07 PM
Threaded Mode