Россиян предупредили о вирусе Tsundere, маскирующемся под установщики популярных игр и заражающем компьютеры с Windows
изображение: recraft
Специалисты глобального центра исследований и анализа угроз «Лаборатории Касперского» выявили свежую бот-сеть, получившую название Tsundere. Вредоносная кампания ориентирована исключительно на устройства под управлением Windows, где имплант проникает через PowerShell-скрипты или обычные MSI-пакеты.
Распространители мастерски используют интерес геймеров. Фальшивые инсталляторы выдаются за официальные версии таких хитов, как Valorant, Counter-Strike 2 и Rainbow Six. Основной удар пришёлся на пользователей из Мексики и Чили. Много случаев также фиксировалось в России и Казахстане. При этом ботнет запрограммирован избегать заражения машин в странах СНГ, но геоблокировка работает не всегда.
Анализ показал, что Tsundere представляет собой серьёзную угрозу, которая продолжает активно наращивать количество подконтрольных устройств.
Одной из главных особенностей ботнета стало хранение адресов командных серверов в смарт-контрактах блокчейна Ethereum. Такой подход резко повышает живучесть инфраструктуры, ведь уничтожить или заблокировать децентрализованные записи практически невозможно.
Для доставки полезной нагрузки операторы подготовили два удобных варианта. Первый — классический MSI-установщик, второй — компактный PowerShell-скрипт. Оба автоматически генерируются через единую панель управления, где также размещена торговая площадка для продажи доступа к заражённым машинам.
После установки имплант разворачивает полноценного бота, способного в реальном времени выполнять произвольный JavaScript-код. Связь с управляющими серверами поддерживается через протокол WebSocket, что обеспечивает высокую скорость и надёжность.
Технические детали кода и особенности реализации указывают на русскоязычное происхождение разработчиков. Более того, эксперты нашли прямые пересечения с ранее известным стилером 123 Stealer, который активно продавался на подпольных форумах.
Дмитрий Галов, руководитель Kaspersky GReAT в России, отметил, что авторы Tsundere демонстрируют впечатляющую скорость адаптации. По его словам, преступники уже несколько раз обновляли арсенал, а переход на технологии Web3 сделал их инфраструктуру заметно гибче. Импланты по-прежнему распространяются под видом игровых установщиков. Сохраняется связь с прежними вредоносными кампаниями, поэтому рост ботнета практически неизбежен.
