Qihoo i Baidu ruše kinesku bot mrežu sa stotinama hiljada zaraženih računara

Vesti, 02.06.2020, 01:00 AM

Kineski korisnici se obično druže u svom kutku interneta, iza “Velikog vatrenog zida”, ali se i oni kao i ostatak sveta svakodnevno susreću sa malverima iako to obično nisu malveri sa kojima se susreću ostali korisnici interneta.

Jedan od takvih malvera je trojanac DoubleGuns (ShuangQiang) koji je odgovoran za nastanak jedne od najvećih kineskih bot mreža.

DoubleGuns se isključivo nalazi u Kini, a veruje se da je odgovoran za milione infekcija prethodnih godina.

DoubleGuns je trojanac koji cilja Windows uređaje. Malver je aktivan od jula 2017. kada su istraživači kompanije Qihoo 360 uočili prve uzorke malvera.

Tokom protekle tri godine, trojanac DoubleGuns promenio se veoma malo. I danas se malver prvenstveno distribuira preko aplikacija koje se dele na kineskim veb sajtovima, a većina aplikacija su piratske igre dostupne na kineskim društvenim mrežama i gejmerskim forumima.

Njegova osnovna svrha je i dalje zaraziti korisnike MBR i VBR bootkitovima, instalirati razne maliciozne drajvere, a zatim ukrasti lozinke iz lokalnih aplikacija, sa fokusom na Steam naloge.

Pored toga, DoubleGuns deluje i kao adware i spam modul. On ubacuje reklame na korisničke uređaje i otima QQ račune kako bi putem privatnih poruka širio reklame prijateljima žrtve.

Primećene su i starije verzije malvera DoubleGuns kako otimaju saobraćaj sa legitimnih portala za e-trgovinu, preusmeravanjem zaraženih korisnika na klonirane veb sajtove; međutim, čini se da je ovo ponašanje u poslednjim verzijama odbačeno.

Trojanac cilja isključivo kineske korisnike, a to je vrlo jasno kada se analizira izvorni kod malvera, koji uključuje funkcije za onemogućavanje sigurnosnog softvera, a uglavnom je reč o kineskim antivirusima.

Qihoo 360 je objavio da su se nedavno udružili sa kineskim tehnološkim gigantom Baidu kako bi se prekinuo rad botneta, koji je postao previše veliki da bi se mogao ignorisati.

Qihoo kaže da od 14. maja rade sa kompanijom Baidu kako bi uklonili neke delove infrastrukture botneta, od kojih većina koristi Baidu uslugu hostinga slika Tieba.

Prema rečima istraživača Qihoo 360, poslednje tri godine DoubleGuns preuzima slike sa servisa Tieba. Slike su sadržavale tajni kod (sakriven unutar slike pomoću tehnike poznate kao steganografija) koji je DoubleGun botovima davao instrukcije koje zadatke treba da obavljaju na zaraženim računarima.

Qihoo i Baidu kažu da su poslednje dve nedelje uzimali slike koje koriste DoubleGuns botovi i beležili konekcije sa zaraženih računara, kako bi procenili veličinu bot mreže, a trenutna procena je da je reč o “stotinama hiljada” zaraženih računara .

Uspeh koji su postigle dve kompanije u borbi sa bot mrežom se smatra privremenim, jer ostali delovi infrastrukture i dalje rade, a operateri su i dalje na slobodi.