Ботнет Цундере расширяется, используя игровые приманки и C2 на основе Ethereum в Windows

Ботнет Цундере активно распространяется через установщики MSI и PowerShell, используя ротацию командования и управления (C2) на основе Ethereum и игровые тематические приманки для заражения систем Windows.

Эта сложная операция вредоносного ПО использует технологию блокчейна для устойчивости C2, делая традиционные методы уничтожения почти невозможными. Название ботнета 'Цундере' отражает его обманчивую природу — кажется безобидным, но выполняет вредоносные действия.

Векторы атак включают поддельные установщики игр и моды, нацеленные на популярные названия, распространяемые через вредоносные веб-сайты и форумы. После выполнения вредоносное ПО устанавливает устойчивость и общается с серверами C2 через смарт-контракты Ethereum, обеспечивая динамическую ротацию серверов.

Исследователи безопасности подчеркивают инновационное использование технологии блокчейна в операциях вредоносного ПО, отмечая значительную эволюцию в инфраструктуре ботнетов. Система C2 на основе Ethereum обеспечивает децентрализованные, устойчивые каналы связи, которые трудно нарушить обычными средствами.

Вредоносное ПО демонстрирует расширенные возможности, включая эксфильтрацию данных, разведку системы и потенциал для доставки дополнительных нагрузок. Его модульная конструкция предполагает постоянное развитие и будущее расширение возможностей.