Los investigadores de ciberseguridad están llamando la atención sobre un nuevo malware de Botnet llamado Httpbot Eso se ha utilizado para destacar principalmente la industria del coyuntura, así como a las empresas de tecnología e instituciones educativas en China.
“En los últimos meses, se ha expandido agresivamente, aprovechando continuamente dispositivos infectados para propalar ataques externos”, dijo NSFocus en un documentación publicado esta semana. “Al gastar ataques de inundación HTTP mucho simulados y técnicas de ofuscación de características dinámicas, elude los mecanismos tradicionales de detección basados en reglas”.
Httpbot, vistos por primera vez en la naturaleza en agosto de 2024, obtiene su nombre del uso de protocolos HTTP para propalar ataques distribuidos de denegación de servicio. Escrito en Golang, es una anomalía dada su objetivo de los sistemas de Windows.
El troyano Botnet basado en Windows es extraordinario por su uso en ataques con precisión dirigidos dirigidos a interfaces comerciales de detención valía, como los sistemas de inicio de sesión y de plazo de juegos.
“Este ataque con precisión ‘como el bisturí’ plantea una amenaza sistémica para las industrias que dependen de la interacción en tiempo existente”, dijo la compañía con sede en Beijing. “Httpbot marca un cambio de prototipo en los ataques DDoS, pasando de la ‘supresión del tráfico indiscriminado’ a ‘estrangulamiento comercial de incorporación precisión'”.
Se estima que HTTPBOT emitió no menos de 200 instrucciones de ataque desde principios de abril de 2025, con los ataques diseñados para atacar la industria del coyuntura, las empresas de tecnología, las instituciones educativas y los portales de turismo en China.
Una vez instalado y ejecutado, el malware oculta su interfaz gráfica de beneficiario (GUI) para evitar el monitoreo de procesos por parte de los usuarios y las herramientas de seguridad en un esfuerzo por aumentar el sigilo de los ataques. Todavía recurre a la manipulación no autorizada del registro de Windows para respaldar que se ejecute automáticamente en el inicio del sistema.
El malware Botnet luego procede a establecer el contacto con un servidor de comando y control (C2) para esperar más instrucciones para ejecutar ataques de inundación HTTP contra objetivos específicos enviando un detención tamaño de solicitudes HTTP. Admite varios módulos de ataque –
- BrowserAttack, que implica el uso de instancias ocultas de Google Chrome para imitar el tráfico permitido mientras agota los posibles del servidor
- Httpautoattack, que utiliza un enfoque basado en cookies para disimular con precisión las sesiones legítimas
- Httpfpdlattack, que utiliza el protocolo HTTP/2 y opta por un enfoque que escudriñamiento aumentar el cargador CPU en el servidor coaccionando para devolver respuestas grandes
- WebSocketAttack, que utiliza protocolos “ws: //” y “wss: //” para establecer conexiones WebSocket
- PostAttack, que obliga al uso de HTTP Post para realizar el ataque
- CookieatTack, que agrega un flujo de procesamiento de cookies basado en el método de ataque de BrowserAttack
“Las familias DDOS Botnet tienden a congregarse en plataformas Linux e IoT”, dijo NSFOCUS. “Sin retención, la clan Httpbot Botnet ha dirigido específicamente a la plataforma Windows”.
“Al disimular profundamente las capas de protocolo e imitar el comportamiento permitido del navegador, Httpbot omite las defensas que dependen de la integridad del protocolo. Todavía ocupa continuamente los posibles de la sesión del servidor a través de rutas de URL aleatorias y mecanismos de reposición de cookies, en circunscripción de subordinarse del tamaño de tráfico Sheer”.
