Специалисты «Лаборатории Касперского» опубликовали на прошлой неделе свежую статью, в которой подробно описывается работа ботнета Tsundere. Имплант данного ботнета использует для коммуникации протокол WebSocket, а для первоначального соединения с командным сервером задействует необычный механизм с применением смарт-контрактов в криптовалютной сети Ethereum.

Исследователям не удалось достоверно определить первоначальный вектор заражения данным вредоносным кодом. В одном задокументированном случае имплант был установлен с помощью файла pdf.msi, который, в свою очередь, был загружен со скомпрометированного веб-сайта. По имеющимся названиям других образцов можно также предположить, что организаторы атаки используют в качестве приманки популярные игры для Windows, в частности Valorant, Counter-Strike 2 и Tom Clancy’s Rainbow Six Siege X. Распространяется имплант как в виде инсталлятора MSI, так и в формате скрипта PowerShell.

Установщик, замаскированный под инсталлятор популярной игры, содержит набор JavaScript-файлов, а также все необходимые исполняемые файлы Node.js для запуска скриптов. Скрипт-загрузчик расшифровывает и выполняет основной код бота. В случае с PowerShell-скриптом с официального сайта Node.js скачивается инсталлятор, а затем уже выполняется вредоносный код, который также прописывается в автозапуск. Следующий этап получения адреса командного сервера представляет в данной атаке наибольший интерес. Для этого используются смарт-контракты, в которых есть возможность хранить произвольные данные в ряде переменных. Ботнет Tsundere использует блокчейн Ethereum. В коде бота прописан не адрес командного сервера, а номер кошелька и смарт-контракта, из переменной parami которого загружается адрес. Соответственно, организаторы атаки могут в любой момент сменить указатель на сервер, совершив транзакцию с нулевой суммой и обновив информацию в переменной. Пример такой транзакции показан на скриншоте ниже.

На сервер с зараженной системы передаются сведения о версии ОС, MAC-адресах сетевых адаптеров, объеме оперативной памяти, характеристиках видеочипа и так далее. Эти же данные используются для формирования идентификатора «клиента». Затем устанавливается постоянное, зашифрованное соединение с сервером, с ежеминутным обменом сигнальными сообщениями.

Собственно функциональность ботнета реализуется через отправку на зараженные системы кода JavaScript, который затем выполняется, а на сервер отправляются данные о результате операции. Впрочем, за весь период наблюдения тестовая система исследователей не получила никаких команд от сервера C2. Вероятно, это связано с необходимостью ручной активации организаторами атаки недавно подключившихся ботов. Панель управления ботнетом выглядит следующим образом:

С ее помощью зарегистрированный пользователь может контролировать работу собственных ботов, создавать новые сборки вредоносного ПО, покупать и продавать ботов у других участников, а также вносить и выводить средства в валюте Monero. Отдельная фича панели управления позволяет пропускать трафик через собственных ботов, используя их в качестве прокси. Авторы исследования выявили связь между ботнетом Tsundere и инфостилером 123 Stealer: обе вредоносные операции используют общий сервер панели управления.

Помимо использования смарт-контрактов для вредоносной деятельности, интерес представляет связь (в виде общего адреса криптокошелька) данной группировки с прошлогодними инцидентами, в которых проводились попытки распространения вредоносных пакетов в репозитории npm. Мы не раз писали о подобной активности, а конкретные атаки этой же группировки описаны, например, в этом отчете компании Phylum. Поэтому анализ бота Tsundere позволяет предположить, что происходило с жертвой после установки и запуска вредоносного кода. Немаловажна и еще одна деталь: эксперты «Лаборатории Касперского» отмечают, что после довольно активной кампании по распространению вредоносных npm-пакетов (всего было выявлено 287 штук) злоумышленники отказались от данного способа. Скорее всего, после того как администраторы npm удалили все загруженные пакеты и стало широко известно о подобном методе атаки.

Что еще произошло

Хотя данная конкретная группировка и отказалась от атак с использованием зараженных пакетов в менеджере npm, другие злоумышленники не оставляют попыток. В свежем отчете компании Socket сообщается о новой волне атак, в которых сделана попытка скрыть вредоносную составляющую от разработчика, но задействовать ее для конечной жертвы.

Еще одна публикация экспертов «Лаборатории Касперского» разбирает метод кражи токенов авторизации, применяемый APT-группировкой ToddyCat. Атака нацелена на корпорации, а кража токенов у сотрудников открывает возможности слежки за рабочими коммуникациями в электронной почте без взлома самого почтового сервера (например, если используется в целом более стойкое к атакам облачное решение). На прошлой неделе также были опубликованы регулярные отчеты по эволюции киберугроз за третий квартал 2025 года — со статистикой для ПК и для мобильных устройств.

Свежая вредоносная атака на пользователей устройств под управлением Android нацелена на кражу переписки в мессенджерах Signal и WhatsApp. В сервисах с end-to-end-шифрованием компрометация смартфона одного из собеседников является единственным надежным способом получить доступ к сообщениям.

Критическая уязвимость обнаружена в снятом с поддержки роутере D-Link DIR-878. А устаревшие и непропатченные роутеры Asus стали целью новой кампании WrtHug. Семь разных уязвимостей используются для перехвата контроля над роутером, который в дальнейшем может применяться в качестве прокси-сервера. По данным исследователей, в ходе атаки могли быть скомпрометированы более 50 тысяч устройств.

Компания Google закрыла очередную, седьмую по счету с начала этого года уязвимость нулевого дня в браузере Google Chrome.

Критическая уязвимость также была обнаружена в корпоративном решении для бизнес-аналитики Grafana.