Eu gosto de comparar botnets como um exército, mas que estão lutando contra sua vontade. A própria palavra já nos dá uma noção do que se trata: bot que vem de "robot" (robô) e net (rede), então se formos traduzir fica "robôs na rede".

Como funciona?

Um criminoso infecta computadores de vários usuários com um trojan (cavalo de tróia), o que lhe permite assumir o controle de todas essas máquinas. Com o controle, ele pode organizar todas elas em uma rede de "bots” (entenderam agora o porque de botnet?), e ele pode gerenciar todas elas remotamente.

Riscos

Aí vocês podem perguntar: "tá, mas ele tendo esse "exército", o que ele pode fazer com isso?" Para responder isso, posso fazer outra analogia: Se eu quiser derrubar um muro muito forte, eu não quero escalá-lo e nem fazer um buraco para eu passar, apenas quero derrubá-lo, obviamente que sozinho eu não consigo, então vou chamar ajuda! E é isso que o criminoso faz, pega todo esse "exército" que ele criou e direciona-o para algum alvo.

O ataque mais comum envolvendo botnets é o Ataque Distribuído de Negação de Serviço (DDoS, sigla em inglês), que ele manda todos os "bots" enviarem uma requisição para algum site, e com isso o servidor é sobrecarregado e pode "cair" (como o muro 😁). Também é possível realizar "ataque" de spam, que consiste em vários e-mails enviados para milhares de pessoas oferecendo algum tipo de serviço, se enquadrando em casos de Engenharia Social.