O que é HTTPBot?
Pesquisadores de segurança cibernética estão chamando a atenção para um novo malware botnet chamado HTTPBot, que tem como alvo principal a indústria de jogos, além de empresas de tecnologia e instituições educacionais na China.
“Nos últimos meses, ele se expandiu agressivamente, aproveitando continuamente dispositivos infectados para lançar ataques externos”, afirmou a NSFOCUS em um relatório publicado esta semana. “Ao empregar ataques HTTP Flood altamente simulados e técnicas dinâmicas de ofuscação de recursos, ele contorna os mecanismos tradicionais de detecção baseados em regras.”
Pesquisadores identificaram o HTTPBot pela primeira vez em agosto de 2024 e o batizaram com o nome devido ao uso de protocolos HTTP para lançar ataques distribuídos de negação de serviço. Escrito em Golang, ele se destaca como uma anomalia devido ao seu foco em sistemas Windows.
Este trojan botnet baseado em Windows se destaca por executar ataques precisamente direcionados a interfaces comerciais de alto valor, como login de jogos e sistemas de pagamento.
“Este ataque com precisão ‘semelhante a um bisturi’ representa uma ameaça sistêmica para setores que dependem de interação em tempo real”, enfatizou a empresa com sede em Pequim. “O HTTPBot marca uma mudança de paradigma nos ataques DDoS, passando de ‘supressão indiscriminada de tráfego’ para ‘estrangulamento de negócios de alta precisão’.”
Como Funciona?
Desde o início de abril de 2025, o HTTPBot emitiu nada menos que 200 Instruções de ataque, visando a Indústria de jogos, Empresas de Tecnologia, Instituições Educacionais e portais de turismo na China.
Uma vez Instalado e em Execução, o malware oculta Ativamente sua interface gráfica do usuário (GUI) para escapar do Monitoramento de Processos tanto por Usuários quanto por Ferramentas de Segurança, Aumentando assim a Furtividade de seus ataques. Além disso, ele Manipula o Registro do Windows sem Autorização para Garantir que ele seja Executado Automaticamente na Inicialização do sistema.
Em seguida, o malware botnet Estabelece contato com um Servidor de comando e Controle (C2) e aguarda novas Instruções para lançar ataques de Inundação HTTP contra alvos Designados, Enviando um alto volume de Solicitações HTTP. Ele suporta vários módulos de ataque:
- BrowserAttack, que inicia Instâncias ocultas do Google Chrome para imitar o tráfego Legítimo Enquanto esgota os Recursos do Servidor
- HttpAutoAttack, que simula sessões válidas usando um método baseado em cookies
- HttpFpDlAttack, que emprega o Protocolo HTTP/2 e aumenta a carga da CPU do Servidor ao Disparar grandes Solicitações de Resposta
- WebSocketAttack, que inicia Conexões por meio dos Protocolos “ws://” e “wss://”
- PostAttack, que executa ataques por meio de Solicitações HTTP POST
- CookieAttack, que Aprimora o BrowserAttack ao Incorporar um Processamento de cookies fluxo
“Famílias de botnets DDoS normalmente se concentram em plataformas Linux e IoT”, observou a NSFOCUS. “No entanto, a família de botnets HTTPBot tem como alvo específico a plataforma Windows.”
“Ao simular profundamente camadas de protocolo e imitar o comportamento legítimo do navegador, o HTTPBot contorna defesas que dependem da integridade do protocolo. Além disso, ele ocupa persistentemente os recursos da sessão do servidor por meio de caminhos de URL aleatórios e técnicas de reposição de cookies, em vez de depender apenas do volume excessivo de tráfego.”
Fonte: TheHackerNews
