Tsundere botnet
A Kaspersky kutatói felfedezték, hogy egy viszonylag újnak tekinthető, többplatformos botnet-projekt – a Tsundere – olyan modern technológiákat alkalmaz, amelyekkel a kiberbűnözők az infrastruktúra rezilienciáját és az észlelhetőség minimalizálását célozzák. A Tsundere egyik kulcsjellemzője, hogy Node.js-alapú botos ügyfeleket terjeszt, amelyek az áldozati gépeken Javascript kódot futtatnak, olyan csatornákon keresztül, amelyek hagyományosan kevésbé gyanúsak. Ezzel párhuzamosan extraordinárius módon integrálja a blokklánc technológiát, a C2 címét nem fixen a kódba égetik, hanem egy Ethereum blokklánc-okosszerződésben tárolják, így a támadók bármikor új C2-címet léptethetnek életbe egyetlen tranzakcióval. Érdemes kiemelni, hogy a blokklánc-integráció nem pusztán technikai látványelem, hanem operatív előnyt biztosít, a hagyományos C2-infrastruktúrát sokkal nehezebb semlegesíteni, ha maga az átirányítás a blokklánc változásán keresztül történik.
A kutatás felhívja a figyelmet, hogy a Tsundere terjesztése hamis MSI telepítő-csomagokon keresztül folyik, amelyek népszerű játék- vagy szoftvernév alatt érhetők el – az áldozat azt hiszi, hogy egy legális telepítő-programot futtat. Ezt követően a bot letölti a Node.js futtatókörnyezetet tartalmazó komponenst, regisztrálja magát, majd webSocket-csatornákat és HTTP alapú kódfrissítéseket használ, hogy új Javascript-modulokat töltsön be és hajtson végre, teljes mértékben az irányító szerver vezérlése alatt. A tárolt C2-címek módosíthatóságának és a decentralizált tárolásnak köszönhetően a botnet külső-visszafoghatósága lényegesen nagyobb, mint a hagyományos botneteké.
Az üzemeltetők feltehetőleg orosz-nyelvű csoporthoz köthetők, mivel a korai kódbázisban orosz kommentek és korábbi 123 Stealer eszközre mutató kapcsolatok is felfedezhetők. A fertőzések már több országban – közöttük Oroszországban, Közép-Ázsiában és Latin-Amerikában – megjelentek, ami arra utal, hogy a kampány globális skálán működik. A Tsundere nem kizárólag pénzügyi adatokra vadászik, hanem a bot-hálózat kapacitását BOTNET-as-a-Service alapon is kínálja más bűnözőknek, valamint kódbetöltési modulokat kínál, amelyekkel a szervezetektől, vállalati hálózatoktól is adatot lehet gyűjteni.
