Socks5Systemz Botnet

Una xarxa de bots proxy coneguda com "Socks5Systemz" s'ha infiltrat silenciosament en ordinadors de tot el món mitjançant els carregadors de programari maliciós " PrivateLoader " i " Amadey ". Actualment, ha compromès amb èxit 10.000 dispositius. Aquest programari amenaçador pren el control dels ordinadors infectats, transformant-los en conductes involuntaris per a diversos tipus de trànsit d'Internet sense escrúpols, il·lícits o anònims. La botnet ofereix aquest servei als subscriptors, que hi poden accedir per una tarifa que va d'1 $ a 140 $ per dia, pagada en criptomoneda.

Els experts en ciberseguretat han descobert que la xarxa de bots proxy Socks5Systemz ha estat en funcionament almenys des del 2016, però ha aconseguit eludir una atenció important, operant a l'ombra.

La botnet Socks5Systemz estableix la persistència en sistemes infectats

La botnet Socks5Systemz es difon a través del PrivateLoader i el programari maliciós Amadey, que es propaga habitualment a través de diversos mitjans com ara phishing, kits d'explotació, publicitat maliciosa i executables troianitzats descarregats de xarxes peer-to-peer.

Els investigadors van identificar mostres de botnet etiquetades com a "previewer.exe", dissenyades per infiltrar-se a la memòria de l'amfitrió i establir la persistència mitjançant un servei de Windows anomenat "ContentDWSvc". La càrrega útil del bot proxy pren la forma d'una DLL de 32 bits de 300 KB. Utilitza un sistema d'algorisme de generació de domini (DGA) per connectar-se amb el seu servidor de comandament i control (C2) i transmetre informació de perfils sobre la màquina infectada.

En resposta, el servidor C2 pot emetre una de les ordres següents per a l'execució:

• 'idle': no es pren cap acció.
• 'connect': estableix una connexió amb un servidor de connexió posterior.
• 'disconnect': talla la connexió al servidor de connexió posterior.
• 'updips': actualitza la llista d'adreces IP autoritzades per enviar trànsit.
• 'upduris': aquesta ordre encara no s'ha implementat.

L'ordre "connectar" és especialment important, ja que dirigeix el bot a crear una connexió a un servidor de connexió posterior a través del port 1074/TCP.

Un cop connectat a la infraestructura controlada pels actors d'amenaça, el dispositiu compromès es transforma en un servidor intermediari que es pot comercialitzar a altres actors d'amenaça. Quan s'enllaça amb el servidor de connexió posterior, utilitza paràmetres de camp específics per determinar l'adreça IP, la contrasenya del servidor intermediari i una llista de ports restringits. Aquests paràmetres garanteixen que només els robots de la llista permesa amb les credencials d'inici de sessió adequades puguin interactuar amb els servidors de control, frustrant eficaçment els intents no autoritzats.

La botnet Socks5Systemz es ven a diversos nivells de preu

Només a l'octubre de 2023, els analistes han documentat un total de 10.000 intents de comunicació únics mitjançant el port 1074/TCP amb els servidors de connexió posterior identificats. Aquests intents corresponen a un nombre igual de víctimes. La distribució d'aquestes víctimes és generalitzada i una mica aleatòria, s'estén per tot el món. No obstant això, països com l'Índia, els Estats Units, el Brasil, Colòmbia, Sud-àfrica, Argentina i Nigèria tenen les taxes d'infecció més altes registrades.

L'accés als serveis de proxy Socks5Systemz està disponible a través de dos nivells de subscripció, coneguts com a "Estàndard" i "VIP". Els clients fan pagaments a través de la passarel·la de pagament anònima "Cryptomus".

Els subscriptors han d'especificar l'adreça IP a partir de la qual s'origina el trànsit proxy per ser inclòs a la llista de permisos del bot. Els subscriptors estàndard estan limitats a un sol fil i un tipus de proxy, mentre que els usuaris VIP gaudeixen de la flexibilitat d'utilitzar de 100 a 5.000 fils i poden seleccionar entre els tipus de proxy SOCKS4, SOCKS5 o HTTP.

Les botnets de proxy residencials representen un negoci lucratiu amb un impacte substancial en la seguretat d'Internet i el consum no autoritzat d'ample de banda. Aquests serveis s'utilitzen habitualment amb finalitats com ara executar robots de compres i eludir les restriccions geogràfiques, cosa que els fa excepcionalment populars.