Ботнет Socks5Systemz

Прокси ботнет, известен като „Socks5Systemz“, тихо прониква в компютри по целия свят чрез програмите за зареждане на зловреден софтуер „ PrivateLoader “ и „ Amadey “. В момента той успешно е компрометирал 10 000 устройства. Този заплашителен софтуер изземва контрола върху заразените компютри, превръщайки ги в неволни канали за различни видове безскрупулен, незаконен или анонимен интернет трафик. Ботнетът предлага тази услуга на абонати, които имат достъп до нея срещу такса, варираща от $1 до $140 на ден, платена в криптовалута.

Експертите по киберсигурност са открили, че прокси ботнетът Socks5Systemz работи поне от 2016 г., но въпреки това е успял да избегне значително внимание, работейки в сянка.

Ботнетът Socks5Systemz установява устойчивост на заразени системи

Ботнетът Socks5Systemz се разпространява чрез PrivateLoader и злонамерения софтуер Amadey, като обикновено се разпространява чрез различни средства като фишинг, експлойт комплекти, злонамерена реклама и троянизирани изпълними файлове, изтеглени от peer-to-peer мрежи.

Изследователите идентифицираха ботнет проби, обозначени като „previewer.exe“, предназначени да проникнат в паметта на хоста и да установят постоянство чрез услуга на Windows, наречена „ContentDWSvc“. Полезният товар на прокси бота е под формата на 300 KB 32-битова DLL. Той използва система за алгоритъм за генериране на домейн (DGA), за да се свърже със своя сървър за командване и управление (C2) и да предаде информация за профилиране на заразената машина.

В отговор C2 сървърът може да издаде една от следните команди за изпълнение:

• • 'idle': Не се предприемат действия.

• • 'connect': Установете връзка със сървър за обратна връзка.

• • 'disconnect': Прекъснете връзката със сървъра за обратна връзка.

• • 'updips': Актуализирайте списъка с разрешени IP адреси за изпращане на трафик.

• • 'upduris': Тази команда все още не е внедрена.

Командата 'connect' е особено важна, тъй като насочва бота да създаде връзка към сървър за обратна връзка през порт 1074/TCP.

Веднъж свързано с инфраструктурата, контролирана от участници в заплаха, компрометираното устройство се трансформира в прокси сървър, който може да се продава на други участници в заплаха. Когато се свързва със сървъра за обратна връзка, той използва специфични параметри на полето, за да установи IP адреса, паролата на прокси сървъра и списък с ограничени портове. Тези параметри гарантират, че само ботове от разрешения списък с подходящите идентификационни данни за влизане могат да взаимодействат с контролните сървъри, като ефективно осуетяват неоторизирани опити.

Ботнетът Socks5Systemz се продава на няколко ценови нива

Само през октомври 2023 г. анализаторите са документирали общо 10 000 уникални опита за комуникация през порт 1074/TCP с идентифицираните сървъри за обратна връзка. Тези опити отговарят на равен брой жертви. Разпределението на тези жертви е широко разпространено и донякъде случайно, обхващащо цялото земно кълбо. Страни като Индия, Съединените щати, Бразилия, Колумбия, Южна Африка, Аржентина и Нигерия обаче имат най-висок регистриран процент на инфекция.

Достъпът до прокси услугите на Socks5Systemz е достъпен чрез две нива на абонамент, известни като „Стандарт“ и „VIP“. Клиентите извършват плащания през шлюза за анонимни плащания „Cryptomus“.

От абонатите се изисква да посочат IP адреса, от който произхожда прокси трафикът, за да бъдат включени в списъка с разрешени на бота. Стандартните абонати са ограничени до една нишка и един тип прокси, докато VIP потребителите се радват на гъвкавостта при използване на 100 до 5000 нишки и могат да избират между SOCKS4, SOCKS5 или HTTP прокси типове.

Жилищните прокси ботнети представляват доходоносен бизнес със значително въздействие върху интернет сигурността и неразрешеното потребление на честотна лента. Тези услуги обикновено се използват за цели като управление на ботове за пазаруване и заобикаляне на гео ограничения, което ги прави изключително популярни.