Botnet Socks5Systemz

Proxy botnet známý jako 'Socks5Systemz' tiše infiltroval počítače po celém světě prostřednictvím nakladačů malwaru ' PrivateLoader ' a ' Amadey '. V současné době úspěšně kompromitoval 10 000 zařízení. Tento hrozivý software se zmocňuje kontroly nad infikovanými počítači a přeměňuje je v nevědomé kanály pro různé typy bezohledného, nezákonného nebo anonymního internetového provozu. Botnet nabízí tuto službu předplatitelům, kteří k ní mají přístup za poplatek v rozmezí od 1 do 140 USD za den, placený v kryptoměně.

Odborníci na kybernetickou bezpečnost zjistili, že proxy botnet Socks5Systemz je v provozu minimálně od roku 2016, přesto se mu podařilo uniknout značné pozornosti a fungovat ve stínu.

Botnet Socks5Systemz zajišťuje odolnost na infikovaných systémech

Botnet Socks5Systemz je šířen prostřednictvím PrivateLoader a malwaru Amadey, běžně se šíří různými prostředky, jako je phishing, exploit kity, malvertising a trojanizované spustitelné soubory stažené ze sítí peer-to-peer.

Výzkumníci identifikovali vzorky botnetů označené jako 'previewer.exe' navržené tak, aby infiltrovaly paměť hostitele a zajistily stálost prostřednictvím služby Windows s názvem 'ContentDWSvc'. Proxy bot má podobu 300 KB 32bitové DLL. Využívá systém algoritmu generování domény (DGA) pro připojení k jeho serveru Command-and-Control (C2) a odesílání profilovacích informací o infikovaném počítači.

Jako odpověď může server C2 vydat jeden z následujících příkazů pro provedení:

• • 'idle': Není provedena žádná akce.

• • 'connect': Vytvořte připojení k serveru backconnect.

• • 'disconnect': Přeruší připojení k serveru backconnect.

• • 'updips': Aktualizace seznamu autorizovaných IP adres pro odesílání provozu.

• • 'upduris': Tento příkaz ještě není implementován.

Příkaz 'connect' je zvláště významný, protože nasměruje robota k vytvoření připojení k serveru backconnect přes port 1074/TCP.

Po připojení k infrastruktuře řízené aktéry hrozeb se napadené zařízení přemění na proxy server, který lze prodat dalším aktérům hrozeb. Při připojení k serveru backconnect využívá specifické parametry pole ke zjištění IP adresy, hesla proxy a seznamu omezených portů. Tyto parametry zajišťují, že pouze roboti na seznamu povolených s příslušnými přihlašovacími údaji mohou komunikovat s řídicími servery, čímž účinně brání neoprávněným pokusům.

Botnet Socks5Systemz se prodává za několik cenových úrovní

Jen v říjnu 2023 zdokumentovali analytici celkem 10 000 unikátních pokusů o komunikaci přes port 1074/TCP s identifikovanými servery backconnect. Tyto pokusy odpovídají stejnému počtu obětí. Distribuce těchto obětí je rozšířená a poněkud náhodná, pokrývá celý svět. Avšak země jako Indie, Spojené státy, Brazílie, Kolumbie, Jižní Afrika, Argentina a Nigérie mají nejvyšší zaznamenanou míru infekce.

Přístup k proxy službám Socks5Systemz je dostupný prostřednictvím dvou úrovní předplatného, známých jako „Standardní“ a „VIP“. Zákazníci provádějí platby prostřednictvím anonymní platební brány „Cryptomus“.

Aby byli odběratelé zahrnuti do seznamu povolených robotů, musí zadat IP adresu, ze které pochází provoz přes proxy. Standardní předplatitelé jsou omezeni na jedno vlákno a jeden typ proxy, zatímco VIP uživatelé mohou využívat flexibilitu použití 100 až 5000 vláken a mohou si vybrat z typů proxy SOCKS4, SOCKS5 nebo HTTP.

Rezidenční proxy botnety představují lukrativní byznys s podstatným dopadem na internetovou bezpečnost a neoprávněnou spotřebu šířky pásma. Tyto služby se běžně využívají pro účely, jako je spouštění nákupních robotů a obcházení geografických omezení, díky čemuž jsou mimořádně oblíbené.