Socks5Systemz Botnet

Ένα botnet μεσολάβησης γνωστό ως «Socks5Systemz» διεισδύει αθόρυβα σε υπολογιστές σε όλο τον κόσμο μέσω των φορτωτών κακόβουλου λογισμικού « PrivateLoader » και « Amadey ». Επί του παρόντος, έχει παραβιάσει με επιτυχία 10.000 συσκευές. Αυτό το απειλητικό λογισμικό καταλαμβάνει τον έλεγχο των μολυσμένων υπολογιστών, μετατρέποντάς τους σε ακούσια αγωγούς για διάφορους τύπους αδίστακτη, παράνομη ή ανώνυμη κίνηση στο Διαδίκτυο. Το botnet προσφέρει αυτή την υπηρεσία στους συνδρομητές, οι οποίοι μπορούν να έχουν πρόσβαση σε αυτήν με χρέωση που κυμαίνεται από 1 έως 140 $ την ημέρα, πληρωμένη σε κρυπτονομίσματα.

Οι ειδικοί στον τομέα της κυβερνοασφάλειας ανακάλυψαν ότι το botnet μεσολάβησης Socks5Systemz λειτουργεί τουλάχιστον από το 2016, ωστόσο κατάφερε να αποφύγει τη σημαντική προσοχή, λειτουργώντας στη σκιά.

Το Socks5Systemz Botnet εδραιώνει την επιμονή σε μολυσμένα συστήματα

Το botnet Socks5Systemz διαδίδεται μέσω του PrivateLoader και του κακόβουλου λογισμικού Amadey, τα οποία διαδίδονται συνήθως μέσω διαφόρων μέσων όπως phishing, κιτ εκμετάλλευσης, κακόβουλη διαφήμιση και trojanized εκτελέσιμα αρχεία που λαμβάνονται από peer-to-peer δίκτυα.

Οι ερευνητές εντόπισαν δείγματα botnet με την ένδειξη "previewer.exe", σχεδιασμένα να διεισδύουν στη μνήμη του κεντρικού υπολογιστή και να εδραιώνουν την επιμονή μέσω μιας υπηρεσίας των Windows που ονομάζεται "ContentDWSvc". Το ωφέλιμο φορτίο του bot διακομιστή μεσολάβησης έχει τη μορφή ενός DLL 32-bit 300 KB. Χρησιμοποιεί ένα σύστημα αλγόριθμου δημιουργίας τομέα (DGA) για τη σύνδεση με τον διακομιστή Command-and-Control (C2) και τη μετάδοση πληροφοριών προφίλ σχετικά με το μολυσμένο μηχάνημα.

Σε απόκριση, ο διακομιστής C2 μπορεί να εκδώσει μία από τις ακόλουθες εντολές για εκτέλεση:

• 'idle': Δεν γίνεται καμία ενέργεια.
• 'σύνδεση': Δημιουργία σύνδεσης με διακομιστή backconnect.
• 'disconnect': Διαχωρίστε τη σύνδεση στον διακομιστή backconnect.
• 'updips': Ενημερώστε τη λίστα με τις εξουσιοδοτημένες διευθύνσεις IP για την αποστολή επισκεψιμότητας.
• 'upduris': Αυτή η εντολή δεν έχει εφαρμοστεί ακόμη.

Η εντολή «σύνδεση» είναι ιδιαίτερα σημαντική, καθώς καθοδηγεί το bot να δημιουργήσει μια σύνδεση σε έναν διακομιστή backconnect μέσω της θύρας 1074/TCP.

Μόλις συνδεθεί στην υποδομή που ελέγχεται από παράγοντες απειλής, η παραβιασμένη συσκευή μετατρέπεται σε διακομιστή μεσολάβησης που μπορεί να διατεθεί στην αγορά σε άλλους παράγοντες απειλής. Κατά τη σύνδεση με τον διακομιστή backconnect, χρησιμοποιεί συγκεκριμένες παραμέτρους πεδίου για να εξακριβώσει τη διεύθυνση IP, τον κωδικό πρόσβασης διακομιστή μεσολάβησης και μια λίστα περιορισμένων θυρών. Αυτές οι παράμετροι διασφαλίζουν ότι μόνο τα ρομπότ στην επιτρεπόμενη λίστα με τα κατάλληλα διαπιστευτήρια σύνδεσης μπορούν να αλληλεπιδράσουν με τους διακομιστές ελέγχου, αποτρέποντας ουσιαστικά μη εξουσιοδοτημένες προσπάθειες.

Το Socks5Systemz Botnet πωλείται σε διάφορα επίπεδα τιμών

Μόλις τον Οκτώβριο του 2023, οι αναλυτές τεκμηρίωσαν συνολικά 10.000 μοναδικές προσπάθειες επικοινωνίας μέσω της θύρας 1074/TCP με τους διακομιστές backconnect που προσδιορίστηκαν. Οι απόπειρες αυτές αντιστοιχούν σε ισάριθμα θύματα. Η κατανομή αυτών των θυμάτων είναι ευρέως διαδεδομένη και κάπως τυχαία, που εκτείνεται σε ολόκληρη την υδρόγειο. Ωστόσο, χώρες όπως η Ινδία, οι Ηνωμένες Πολιτείες, η Βραζιλία, η Κολομβία, η Νότια Αφρική, η Αργεντινή και η Νιγηρία έχουν τα υψηλότερα καταγεγραμμένα ποσοστά μόλυνσης.

Η πρόσβαση στις υπηρεσίες διακομιστή μεσολάβησης Socks5Systemz είναι διαθέσιμη μέσω δύο επιπέδων συνδρομής, γνωστές ως "Τυπικό" και "VIP". Οι πελάτες πραγματοποιούν πληρωμές μέσω της ανώνυμης πύλης πληρωμών «Cryptomus».

Οι συνδρομητές πρέπει να προσδιορίσουν τη διεύθυνση IP από την οποία προέρχεται η επισκεψιμότητα μέσω διακομιστή, προκειμένου να συμπεριληφθούν στη λίστα επιτρεπόμενων του bot. Οι τυπικοί συνδρομητές περιορίζονται σε ένα νήμα και έναν τύπο διακομιστή μεσολάβησης, ενώ οι χρήστες VIP απολαμβάνουν την ευελιξία χρήσης 100 έως 5000 νημάτων και μπορούν να επιλέξουν από τύπους διακομιστή μεσολάβησης SOCKS4, SOCKS5 ή HTTP.

Τα οικιακά botnet μεσολάβησης αντιπροσωπεύουν μια κερδοφόρα επιχείρηση με σημαντικό αντίκτυπο στην ασφάλεια του Διαδικτύου και στη μη εξουσιοδοτημένη κατανάλωση εύρους ζώνης. Αυτές οι υπηρεσίες χρησιμοποιούνται συνήθως για σκοπούς όπως η εκτέλεση ρομπότ αγορών και η παράκαμψη των γεωγραφικών περιορισμών, γεγονός που τις καθιστά εξαιρετικά δημοφιλείς.