Web3-ботнет атакует ОС Windows через лжеустановщики онлайн-игр

Эксперты Kaspersky GReAT выявили новый ботнет Tsundere, который атакует Windows-устройства через фальшивые установщики популярных игр Valorant, CS2 и других шутеров. Заражения уже зафиксированы в России, Казахстане, Латинской Америке. 

Ботнет использует смарт-контракты в блокчейне Ethereum для управления своей инфраструктурой. Такой подход делает сеть устойчивее — команды поступают через переменную в смарт-контракте, которую можно изменить простой транзакцией с нулевой суммой.

Ботнет реализован на Node.js и распространяется двумя способами: через MSI-установщики и PowerShell-скрипты. После заражения вредонос устанавливает бот, динамически выполняющий JavaScript-код, полученный от C2-сервера. Коммуникация происходит по протоколу WebSocket с шифрованием AES. В исследовании указано, что бот анализирует региональные настройки компьютера и старается не заражать устройства в странах СНГ — классический трюк русскоязычных хакеров, но в этот раз работает не на 100%.

Бизнес-модель ботнета базируется на «конструкторе» — Tsundere предлагает открытую регистрацию в панели управления и встроенную торговую площадку. Любой киберпреступник может создавать свои сборки вредоноса через интуитивно понятный интерфейс.

Анализ кода позволил исследователям связать Tsundere с русскоязычным хакером под псевдонимом koneko, который ранее распространял стилер 123 Stealer. Оба зловреда используют одну инфраструктуру — поддомен панели 123 Stealer отведён для Tsundere.

Защититься от Tsundere можно стандартными методами, например, использовать официальные игровые платформы вместо пиратских версий, держать антивирус обновлённым и не скачивать файлы из сомнительных источников. На момент исследования к C2-серверу ботнета было подключено около 90–115 заражённых устройств. Эксперты ожидают дальнейший рост ботнета.