Новый ботнет Tsundere атакует пользователей Windows

Специалисты из глобального центра исследований и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) выявили новый ботнет, получивший название Tsundere. Он нацелен на устройства с операционной системой Windows и использует для распространения вредоносного ПО MSI-установщики и PowerShell-скрипты. Вредоносный имплант, который устанавливает бот на заражённые устройства, распространяется, в частности, под видом инсталляторов для популярных игр, таких как Valorant, CS2 и R6x. Решения «Лаборатории Касперского» зафиксировали атаки Tsundere в Мексике и Чили. Несмотря на то что, согласно техническому анализу, бот пытается избежать заражения систем в странах СНГ, детекты были обнаружены также в России и Казахстане. Эксперты отмечают, что этот ботнет продолжает расширяться и представляет серьёзную киберугрозу. Для размещения адресов командных серверов в Tsundere используются смарт-контракты Web3. Этот метод становится всё более популярным среди злоумышленников, поскольку повышает устойчивость инфраструктуры ботнета. Панель управления ботнетом показывает, что существует два формата распространения имплантов, которые генерируются автоматически: с использованием MSI-установщика и PowerShell-скриптов. Эти импланты устанавливают на скомпрометированном устройстве пользователя бот, который может непрерывно исполнять JavaScript-код. При этом Tsundere использует WebSocket в качестве основного протокола для взаимодействия с командным сервером злоумышленников. Ботнет Tsundere использует блокчейн Ethereum для переключения между командными серверами атакующих. У него есть собственная панель управления и торговая площадка, объединённые в единый интерфейс. Эксперты считают, что разработчики ботнета Tsundere, скорее всего, являются русскоязычными. На это указывают, в том числе, элементы кода. Исследование также выявило связь между ботнетом Tsundere и 123 Stealer — стилером, который распространяется на теневых форумах. «Мы видим, что импланты продолжают распространяться под видом инсталляторов для игр, также прослеживается связь с ранее обнаруженной вредоносной активностью. Поэтому, вероятно, ботнет продолжит расширяться», — отметил Дмитрий Галов, руководитель Kaspersky GReAT в России. По его словам, после перехода на механизмы Web3 инфраструктура атакующих стала более гибкой. Чтобы защититься от подобных киберугроз, «Лаборатория Касперского» рекомендует использовать только лицензионное ПО и официальные игровые платформы от проверенных разработчиков, установить надёжное защитное решение, эффективность технологий которого подтверждается независимыми тестами, не скачивать файлы из сомнительных источников, настороженно относиться к письмам с предложениями установить приложение с неизвестного сайта, регулярно обновлять операционную систему и установленные программы, использовать сложные пароли и двухфакторную аутентификацию.