Вы скачали Valorant не из Steam? Убедитесь, что это не приглашение в ботнет Tsundere

Нежелательные программы, распространяющиеся под видом игрового софта, вновь привлекли внимание ИБ-специалистов. Ботнет Tsundere, появившийся минувшим летом, постепенно расширяет охват и ориентируется на пользователей Windows, используя разные варианты загрузчиков и необычную архитектуру управления.

По данным экспертов «Лаборатории Касперского», бот получает команды в виде JavaScript-кода, который извлекается с управляющего сервера. При этом способ распространения по-прежнему не установлен, однако в одном из эпизодов злоумышленники использовали законный инструмент удалённого администрирования, через который на устройство был доставлен MSI-файл с вредоносным сценарием. Ещё один признак, на который указывают специалисты, — названия файлов вроде «Valorant», «r6x» и «cs2». Всё это намекает на попытки подловить именно игровую аудиторию, привлекая внимание тех, кто ищет несанкционированные сборки популярных шутеров.

После запуска поддельный MSI-установщик внедряет Node.js и активирует загрузчик, который расшифровывает основной модуль ботнета. Дополнительно программа получает три легитимные библиотеки — ws, ethers и pm2 — с помощью команды npm install. Компонент pm2 используется для запуска процесса и обеспечения автозапуска через системный реестр.

Анализ панели управления показал, что вредоносная система распространяется и через PowerShell-скрипты, которые повторяют действия MSI-варианта, устанавливают Node.js и подтягивают зависимости, но обходятся без pm2, создавая значение в реестре для сохранения присутствия в системе.

Отдельный интерес вызвал способ связи с инфраструктурой Tsundere. Ботнет извлекает адреса WebSocket-серверов через смарт-контракт в сети Ethereum — это позволяет организаторам оперативно менять точки управления. Контракт был размещён осенью 2024 года и к настоящему времени содержит несколько десятков транзакций.

После получения актуального адреса бот проверяет корректность WebSocket-ссылки и устанавливает соединение, ожидая JavaScript-код. Во время наблюдений никаких команд передано не было, но сама возможность исполнять произвольный код делает механизм гибким.

Панель Tsundere предоставляет участникам операции средства для создания новых вредоносных сборок в формате MSI или PowerShell, отображения количества активных заражённых устройств, настройки функций администрирования и превращения заражённых машин в узлы для перенаправления трафика.

Через ту же площадку возможно просматривать и покупать бот-сети, что говорит о коммерциализации проекта. В коде присутствуют русскоязычные строки журналирования, а функциональность пересекается с вредоносными публикациями в экосистеме npm, которые описывали Checkmarx, Phylum и Socket год назад.

С тем же сервером связана и панель управления вредоносным инструментом 123 Stealer, распространявшимся по подписке и впервые упомянутым на теневой площадке пользователем под псевдонимом Конэко. Специалисты подчёркивают, что Tsundere может внедряться через MSI или PowerShell-файлы, а разнообразие вариантов доставки облегчает применение фишинга и других способов проникновения.