Socks5Systemz الروبوتات

تتسلل شبكة الروبوتات الوكيلة المعروفة باسم "Socks5Systemz" بهدوء إلى أجهزة الكمبيوتر في جميع أنحاء العالم من خلال أدوات تحميل البرامج الضارة " PrivateLoader " و" Amadey ". في الوقت الحاضر، نجحت في اختراق 10000 جهاز. يقوم برنامج التهديد هذا بالسيطرة على أجهزة الكمبيوتر المصابة، وتحويلها إلى قنوات غير مقصودة لأنواع مختلفة من حركة المرور عبر الإنترنت عديمة الضمير أو غير المشروعة أو المجهولة. تقدم شبكة الروبوتات هذه الخدمة للمشتركين، الذين يمكنهم الوصول إليها مقابل رسوم تتراوح من 1 دولار إلى 140 دولارًا يوميًا، تُدفع بالعملة المشفرة.

اكتشف خبراء الأمن السيبراني أن شبكة الروبوت الوكيل Socks5Systemz تعمل منذ عام 2016 على الأقل، ومع ذلك فقد تمكنت من تجنب الاهتمام الكبير، حيث تعمل في الظل.

تعمل شبكة Socks5Systemz Botnet على تثبيت الثبات على الأنظمة المصابة

يتم نشر شبكة الروبوتات Socks5Systemz من خلال برنامج PrivateLoader والبرنامج الضار Amadey، ويتم نشرها عادةً عبر وسائل مختلفة مثل التصيد الاحتيالي ومجموعات الاستغلال والإعلانات الضارة والملفات التنفيذية التي تم تنزيلها من شبكات نظير إلى نظير.

وحدد الباحثون عينات الروبوتات التي تحمل اسم "previewer.exe"، المصممة للتسلل إلى ذاكرة المضيف وتحقيق الثبات من خلال خدمة Windows المسماة "ContentDWSvc". تأخذ حمولة الروبوت الوكيل شكل ملف DLL بحجم 300 كيلو بايت و32 بت. ويستخدم نظام خوارزمية إنشاء المجال (DGA) للاتصال بخادم القيادة والتحكم (C2) الخاص به ونقل معلومات ملفات التعريف حول الجهاز المصاب.

ردًا على ذلك، يمكن لخادم C2 إصدار أحد الأوامر التالية للتنفيذ:

• • 'خاملاً': لم يتم اتخاذ أي إجراء.

• • "الاتصال": إنشاء اتصال بخادم الاتصال الخلفي.

• • "قطع الاتصال": قطع الاتصال بخادم الاتصال الخلفي.

• • 'updips': قم بتحديث قائمة عناوين IP المعتمدة لإرسال حركة المرور.

• • "upduris": لم يتم تنفيذ هذا الأمر بعد.

يعد أمر "الاتصال" ذا أهمية خاصة، لأنه يوجه الروبوت لإنشاء اتصال بخادم اتصال خلفي عبر المنفذ 1074/TCP.

بمجرد الاتصال بالبنية التحتية التي تسيطر عليها جهات التهديد، يتم تحويل الجهاز المخترق إلى خادم وكيل يمكن تسويقه إلى جهات تهديد أخرى. عند الارتباط بخادم الاتصال الخلفي، فإنه يستخدم معلمات حقل محددة للتأكد من عنوان IP وكلمة مرور الوكيل وقائمة المنافذ المقيدة. تضمن هذه المعلمات أن الروبوتات المدرجة في القائمة المسموح بها والتي تتمتع ببيانات اعتماد تسجيل الدخول المناسبة هي فقط التي يمكنها التفاعل مع خوادم التحكم، مما يؤدي بشكل فعال إلى إحباط المحاولات غير المصرح بها.

تُباع شبكة Socks5Systemz Botnet بأسعار متعددة

في أكتوبر 2023 فقط، قام المحللون بتوثيق ما مجموعه 10000 محاولة اتصال فريدة عبر المنفذ 1074/TCP مع خوادم الاتصال الخلفي المحددة. تتوافق هذه المحاولات مع عدد متساو من الضحايا. إن توزيع هؤلاء الضحايا واسع النطاق وعشوائي إلى حد ما، ويمتد إلى جميع أنحاء العالم. ومع ذلك، فإن دول مثل الهند والولايات المتحدة والبرازيل وكولومبيا وجنوب أفريقيا والأرجنتين ونيجيريا لديها أعلى معدلات الإصابة المسجلة.

يتوفر الوصول إلى خدمات وكيل Socks5Systemz من خلال مستويين من الاشتراكات، يُعرفان باسم "قياسي" و"VIP". يقوم العملاء بالدفع من خلال بوابة الدفع المجهولة "Cryptomus".

يُطلب من المشتركين تحديد عنوان IP الذي تنشأ منه حركة مرور الوكيل حتى يتم تضمينهم في القائمة المسموح بها للروبوت. يقتصر المشتركون القياسيون على سلسلة رسائل واحدة ونوع وكيل واحد، بينما يتمتع مستخدمو VIP بمرونة استخدام 100 إلى 5000 سلسلة رسائل ويمكنهم الاختيار من بين أنواع بروكسي SOCKS4 أو SOCKS5 أو HTTP.

تمثل شبكات الروبوتات الوكيلة السكنية عملاً مربحًا له تأثير كبير على أمان الإنترنت والاستهلاك غير المصرح به لعرض النطاق الترددي. تُستخدم هذه الخدمات بشكل شائع لأغراض مثل تشغيل روبوتات التسوق والتحايل على القيود الجغرافية، مما يجعلها شائعة بشكل استثنائي.