Výzkumníci v oblasti kybernetické bezpečnosti varovali před aktivně se rozšiřujícím botnetem s názvem Tsundere, který cílí na uživatele Windows.
Hrozba aktivní od poloviny roku 2025 je navržena tak, aby spouštěla libovolný JavaScript kód získaný z řídicího serveru (C2).
V současné době neexistují žádné podrobnosti o tom, jak se malware botnetu šíří; nicméně v alespoň jednom případě měli aktéři hrozby za operací využívat legitimní nástroj pro vzdálené monitorování a správu (RMM) jako kanál ke stažení instalačního souboru MSI z kompromitované stránky.
Názvy dané malwarovým artefaktům – Valorant, r6x (Rainbow Six Siege X) a cs2 (Counter-Strike 2) – také naznačují, že implantát je pravděpodobně šířen pomocí nástrah souvisejících s hrami. Je možné, že cílem jsou uživatelé hledající pirátské verze těchto her.
Bez ohledu na použitou metodu je falešný instalátor MSI navržen tak, aby nainstaloval Node.js a spustil skript zavaděče, který je zodpovědný za dešifrování a spuštění hlavního užitečného zatížení souvisejícího s botnetem. Také připravuje prostředí stažením tří legitimních knihoven, konkrétně ws, ethers a pm2, pomocí příkazu „npm install“.
Botnet Tsundere využívá blockchain Ethereum k získání podrobností o WebSocket serveru C2 (např. ws://193.24.123[.]68:3011 nebo ws://185.28.119[.]179:1234), čímž vytváří odolný mechanismus, který útočníkům umožňuje rotovat infrastrukturu jednoduše pomocí chytrého kontraktu. Kontrakt byl vytvořen 23. září 2024 a dosud měl 26 transakcí.
Jakmile je adresa C2 získána, zkontroluje, zda se jedná o platnou WebSocket URL, a poté pokračuje v navázání WebSocket spojení s konkrétní adresou a přijímá JavaScript kód odeslaný serverem.
Operace botnetu jsou usnadněny řídicím panelem, který přihlášeným uživatelům umožňuje vytvářet nové artefakty pomocí MSI nebo PowerShell, spravovat administrativní funkce, zobrazovat počet botů v daném okamžiku, přeměnit své boty na proxy pro směrování škodlivého provozu a dokonce procházet a nakupovat botnety prostřednictvím vyhrazeného tržiště.
Přítomnost ruského jazyka ve zdrojovém kódu pro účely protokolování naznačuje aktéra hrozby, který mluví rusky. Aktivita je hodnocena jako sdílející funkční překryvy se škodlivou npm kampaní zdokumentovanou společnostmi Checkmarx, Phylum a Socket v listopadu 2024.
Zdroj: thehackernews.com
