Peneliti cybersecurity meminta perhatian pada malware botnet baru yang disebut Httpbot Itu telah digunakan untuk menyempurnakan industri game, serta perusahaan teknologi dan lembaga pendidikan di Cina.
“Selama beberapa bulan terakhir, telah berkembang secara agresif, terus memanfaatkan perangkat yang terinfeksi untuk meluncurkan serangan eksternal,” kata Nsfocus dalam sebuah laporan yang diterbitkan minggu ini. “Dengan menggunakan serangan banjir HTTP yang sangat disimulasikan dan teknik pengayaan fitur dinamis, ia menghindari mekanisme deteksi berbasis aturan tradisional.”
HTTPBOT, pertama kali terlihat di alam liar pada Agustus 2024, mendapatkan namanya dari penggunaan protokol HTTP untuk meluncurkan serangan penolakan yang didistribusikan. Ditulis dalam Golang, itu adalah sesuatu yang anomali mengingat penargetan sistem Windows.
Botnet Trojan berbasis Windows patut diperhatikan karena penggunaannya dalam serangan yang ditargetkan dengan tepat yang ditujukan untuk antarmuka bisnis bernilai tinggi seperti login game dan sistem pembayaran.
“Serangan dengan presisi 'seperti pisau bedah' ini merupakan ancaman sistemik terhadap industri yang mengandalkan interaksi waktu-nyata,” kata perusahaan Beijing-Headquartered. “HTTPBOT menandai perubahan paradigma dalam serangan DDOS, bergerak dari 'penindasan lalu lintas tanpa pandang bulu' ke 'pencekikan bisnis presisi tinggi.'”
HTTPBOT diperkirakan telah mengeluarkan tidak kurang dari 200 instruksi serangan sejak awal April 2025, dengan serangan yang dirancang untuk menyerang industri game, perusahaan teknologi, lembaga pendidikan, dan portal pariwisata di Cina.
Setelah diinstal dan dijalankan, malware menyembunyikan antarmuka pengguna grafis (GUI) untuk menghindari pemantauan proses oleh pengguna dan alat keamanan dalam upaya meningkatkan kelindahan serangan. Ini juga menggunakan manipulasi Registry Windows yang tidak sah untuk memastikan bahwa ia dijalankan secara otomatis pada startup sistem.
Malware botnet kemudian melanjutkan untuk membuat kontak dengan server perintah-dan-kontrol (C2) untuk menunggu instruksi lebih lanjut untuk melaksanakan serangan banjir HTTP terhadap target tertentu dengan mengirimkan volume tinggi permintaan HTTP. Ini mendukung berbagai modul serangan –
- Browserattack, yang melibatkan penggunaan instance Google Chrome tersembunyi untuk meniru lalu lintas yang sah saat melelahkan sumber daya server
- Httpautoattack, yang memanfaatkan pendekatan berbasis cookie untuk secara akurat mensimulasikan sesi yang sah
- Httpfpdlattack, yang menggunakan protokol http/2 dan memilih untuk pendekatan yang berupaya meningkatkan cpu loader pada server dengan memaksanya untuk mengembalikan respons besar besar
- WebSocketattack, yang menggunakan protokol “WS: //” dan “WSS: //” untuk membuat koneksi WebSocket
- Postattack, yang memaksa penggunaan http pos untuk melakukan serangan
- CookieAttack, yang menambahkan aliran pemrosesan cookie berdasarkan metode serangan browserattack
“Keluarga botnet DDOS cenderung berkumpul di platform Linux dan IoT,” kata NSFocus. “Namun, keluarga botnet httpbot secara khusus menargetkan platform Windows.”
“Dengan mensimulasikan lapisan protokol dan meniru perilaku browser yang sah, httpbot memotong pertahanan yang mengandalkan integritas protokol. Ini juga terus menempati sumber daya sesi server melalui jalur URL acak dan mekanisme pengisian ulang cookie, daripada mengandalkan volume lalu lintas yang tipis.”
