Socks5Systemz Botnet

Et proxy-botnet kendt som 'Socks5Systemz' har stille og roligt infiltreret computere over hele verden gennem malware-indlæserne ' PrivateLoader ' og ' Amadey '. I øjeblikket har det med succes kompromitteret 10.000 enheder. Denne truende software griber kontrol over inficerede computere og omdanner dem til uvidende kanaler for forskellige typer skruppelløs, ulovlig eller anonym internettrafik. Botnettet tilbyder denne service til abonnenter, som kan få adgang til den for et gebyr, der spænder fra $1 til $140 per dag, betalt i cryptocurrency.

Cybersikkerhedseksperter har opdaget, at Socks5Systemz proxy-botnet har været i drift siden mindst 2016, men alligevel har det formået at unddrage sig betydelig opmærksomhed, idet det opererer i skyggen.

Socks5Systemz Botnet etablerer persistens på inficerede systemer

Socks5Systemz-botnettet spredes gennem PrivateLoader og Amadey-malwaren, der almindeligvis udbredes via forskellige måder, såsom phishing, udnyttelsessæt, malvertising og trojaniserede eksekverbare filer, der downloades fra peer-to-peer-netværk.

Forskerne identificerede botnet-prøver mærket som 'previewer.exe' designet til at infiltrere værtens hukommelse og etablere persistens gennem en Windows-tjeneste ved navn 'ContentDWSvc'. Proxybot-nyttelasten har form af en 300 KB 32-bit DLL. Den anvender et DGA-system (domænegenereringsalgoritme) til at oprette forbindelse til sin Command-and-Control-server (C2) og overføre profiloplysninger om den inficerede maskine.

Som svar kan C2-serveren udstede en af følgende kommandoer til udførelse:

• • 'tomgang': Der foretages ingen handling.

• • 'connect': Opret forbindelse til en backconnect-server.

• • 'disconnect': Afbryd forbindelsen til backconnect-serveren.

• • 'updips': Opdater listen over autoriserede IP-adresser til at sende trafik.

• • 'upduris': Denne kommando er endnu ikke implementeret.

'connect'-kommandoen er særlig vigtig, da den leder botten til at oprette en forbindelse til en backconnect-server over port 1074/TCP.

Når den først er forbundet til den infrastruktur, der kontrolleres af trusselsaktører, omdannes den kompromitterede enhed til en proxyserver, der kan markedsføres til andre trusselsaktører. Når du linker til backconnect-serveren, bruger den specifikke feltparametre til at fastslå IP-adressen, proxy-adgangskoden og en liste over begrænsede porte. Disse parametre sikrer, at kun bots på den tilladte liste med de relevante loginoplysninger kan interagere med kontrolserverne, hvilket effektivt forhindrer uautoriserede forsøg.

Socks5Systemz Botnet sælges til flere prisniveauer

Bare i oktober 2023 har analytikere dokumenteret i alt 10.000 unikke kommunikationsforsøg via port 1074/TCP med de identificerede backconnect-servere. Disse forsøg svarer til et lige så stort antal ofre. Fordelingen af disse ofre er udbredt og noget tilfældig og spænder over hele kloden. Imidlertid har lande som Indien, USA, Brasilien, Colombia, Sydafrika, Argentina og Nigeria de højeste registrerede infektionsrater.

Adgang til Socks5Systemz proxy-tjenester er tilgængelig via to abonnementsniveauer, kendt som 'Standard' og 'VIP'. Kunder foretager betalinger gennem den anonyme betalingsgateway 'Cryptomus.'

Abonnenter skal angive den IP-adresse, som proxy-trafikken stammer fra, for at blive inkluderet i botens tilladelsesliste. Standardabonnenter er begrænset til en enkelt tråd og en proxytype, mens VIP-brugere nyder fleksibiliteten ved at bruge 100 til 5000 tråde og kan vælge mellem SOCKS4, SOCKS5 eller HTTP proxytyper.

Boligproxy-botnet repræsenterer en lukrativ forretning med en væsentlig indvirkning på internetsikkerheden og det uautoriserede forbrug af båndbredde. Disse tjenester bruges almindeligvis til formål som at køre shopping-bots og omgå geo-begrænsninger, hvilket gør dem usædvanligt populære.