Credit image: Dreamina
Para peneliti keamanan siber memperingatkan tentang botnet malware baru bernama HTTPBot yang secara khusus menargetkan industri game, serta perusahaan teknologi dan institusi pendidikan di China.
Dalam beberapa bulan terakhir, botnet ini berkembang pesat, terus-menerus memanfaatkan perangkat yang terinfeksi untuk meluncurkan serangan eksternal.
Dengan menggunakan serangan HTTP Flood yang sangat mirip dengan lalu lintas asli dan teknik obfuscation (penyamaran) fitur yang dinamis, botnet ini menghindari mekanisme deteksi berbasis aturan tradisional.
|
Baca juga: Sextortion dan Predator Online Merajalela di Dunia Maya |
Kiprah HTTPBot
HTTPBot, pertama kali terdeteksi pada Agustus 2024, mendapatkan namanya dari penggunaan protokol HTTP untuk meluncurkan serangan distributed denial-of-service (DDoS). Ditulis dalam bahasa pemrograman Golang, ini agak aneh mengingat targetnya adalah sistem Windows.
Trojan botnet berbasis Windows ini patut diperhatikan karena penggunaannya dalam serangan yang sangat tepat sasaran, ditujukan pada antarmuka bisnis bernilai tinggi seperti sistem login dan pembayaran game.
Serangan dengan ketepatan seperti pisau bedah ini menimbulkan ancaman sistemik bagi industri yang mengandalkan interaksi real-time. HTTPBot menandai perubahan paradigma dalam serangan DDoS, beralih dari ‘penindasan lalu lintas tanpa pandang bulu’ menjadi ‘pencekikan bisnis dengan presisi tinggi.
Diperkirakan HTTPBot telah mengeluarkan tidak kurang dari 200 instruksi serangan sejak awal April 2025, dengan serangan yang dirancang untuk menyerang industri game, perusahaan teknologi, institusi pendidikan, dan portal pariwisata di China.
Setelah terinstal dan berjalan, malware ini menyembunyikan antarmuka pengguna grafis (GUI) untuk menghindari pemantauan proses oleh pengguna dan alat keamanan dalam upaya meningkatkan kerahasiaan serangan.
|
Baca juga: Ratusan Ribu Kartu Kredit Dicuri Darcula Lewat Phising |
Modul Serangan HTTPBot
Ia juga melakukan manipulasi Registri Windows tanpa izin untuk memastikan bahwa ia berjalan secara otomatis saat sistem dinyalakan.
Botnet malware ini kemudian melanjutkan untuk menjalin kontak dengan server command-and-control (C2) untuk menunggu instruksi lebih lanjut untuk melakukan serangan HTTP flood terhadap target tertentu dengan mengirimkan sejumlah besar permintaan HTTP. Ia mendukung berbagai modul serangan.
- BrowserAttack: Melibatkan penggunaan instance Google Chrome tersembunyi untuk meniru lalu lintas yang sah sambil menghabiskan sumber daya server.
- HttpAutoAttack: Menggunakan pendekatan berbasis cookie untuk secara akurat mensimulasikan sesi yang sah.
- HttpFpDlAttack: Menggunakan protokol HTTP/2 dan memilih pendekatan yang berusaha meningkatkan loader CPU pada server dengan memaksanya mengembalikan respons yang besar.
- WebSocketAttack: Menggunakan protokol “ws://” dan “wss://” untuk membuat koneksi WebSocket.
- PostAttack: Memaksa penggunaan HTTP POST untuk melakukan serangan.
- CookieAttack: Menambahkan alur pemrosesan cookie berdasarkan metode serangan BrowserAttack.
Keluarga Botnet DDoS cenderung berkumpul di platform Linux dan IoT. Namun, keluarga Botnet HTTPBot secara khusus menargetkan platform Windows.
Dengan mensimulasikan lapisan protokol secara mendalam dan meniru perilaku browser yang sah, HTTPBot melewati pertahanan yang mengandalkan integritas protokol.
Ia juga terus-menerus menduduki sumber daya sesi server melalui jalur URL acak dan mekanisme pengisian ulang cookie, alih-alih mengandalkan volume lalu lintas yang besar.
Sumber berita:
