Socks5Systemz Botnet

Proxy botnet poznat kao 'Socks5Systemz' tiho se infiltrirao u računala širom svijeta putem ' PrivateLoader ' i ' Amadey ' učitavača malvera. Trenutno je uspješno kompromitirao 10.000 uređaja. Ovaj prijeteći softver preuzima kontrolu nad zaraženim računalima, pretvarajući ih u nesvjesne kanale za razne vrste beskrupuloznog, nedopuštenog ili anonimnog internetskog prometa. Botnet nudi ovu uslugu pretplatnicima, koji joj mogu pristupiti uz naknadu u rasponu od 1 do 140 dolara po danu, plaćenu u kriptovaluti.

Stručnjaci za kibernetičku sigurnost otkrili su da Socks5Systemz proxy botnet radi najmanje od 2016. godine, ali je ipak uspio izbjeći značajnu pažnju, radeći u sjeni.

Botnet Socks5Systemz uspostavlja postojanost na zaraženim sustavima

Socks5Systemz botnet se širi putem PrivateLoadera i Amadey zlonamjernog softvera, koji se obično širi različitim sredstvima kao što su phishing, exploit setovi, malvertising i trojanizirane izvršne datoteke preuzete s peer-to-peer mreža.

Istraživači su identificirali uzorke botneta označene kao 'previewer.exe', dizajnirane da se infiltriraju u memoriju glavnog računala i uspostave postojanost putem Windows usluge pod nazivom 'ContentDWSvc'. Korisni teret proxy bota ima oblik 32-bitne DLL datoteke od 300 KB. Koristi sustav algoritma za generiranje domene (DGA) za povezivanje sa svojim Command-and-Control (C2) poslužiteljem i prijenos informacija o profiliranju zaraženog stroja.

Kao odgovor, C2 poslužitelj može izdati jednu od sljedećih naredbi za izvršenje:

• 'idle': Nikakva radnja nije poduzeta.
• 'connect': Uspostavite vezu s poslužiteljem povratne veze.
• 'disconnect': Prekini vezu s poslužiteljem povratne veze.
• 'updips': Ažurirajte popis ovlaštenih IP adresa za slanje prometa.
• 'upduris': Ova naredba još nije implementirana.

Naredba 'connect' je posebno značajna, jer usmjerava bota da stvori vezu s backconnect serverom preko priključka 1074/TCP.

Nakon povezivanja s infrastrukturom koju kontroliraju akteri prijetnji, kompromitirani uređaj pretvara se u proxy poslužitelj koji se može prodavati drugim akterima prijetnji. Prilikom povezivanja s poslužiteljem povratne veze, on koristi specifične parametre polja za utvrđivanje IP adrese, proxy lozinke i popisa ograničenih portova. Ovi parametri osiguravaju da samo botovi na popisu dopuštenih s odgovarajućim vjerodajnicama za prijavu mogu komunicirati s kontrolnim poslužiteljima, učinkovito sprječavajući neovlaštene pokušaje.

Botnet Socks5Systemz prodaje se po nekoliko cjenovnih razina

Samo u listopadu 2023. analitičari su dokumentirali ukupno 10.000 jedinstvenih pokušaja komunikacije putem priključka 1074/TCP s identificiranim poslužiteljima za povratnu vezu. Ovi pokušaji odgovaraju jednakom broju žrtava. Distribucija tih žrtava je široko rasprostranjena i pomalo nasumična, obuhvaćajući cijeli svijet. Međutim, zemlje poput Indije, Sjedinjenih Država, Brazila, Kolumbije, Južne Afrike, Argentine i Nigerije imaju najveće zabilježene stope zaraze.

Pristup Socks5Systemz proxy uslugama dostupan je kroz dvije razine pretplate, poznate kao 'Standard' i 'VIP'. Kupci plaćaju putem anonimnog pristupnika plaćanja 'Cryptomus'.

Pretplatnici moraju navesti IP adresu s koje potječe proxy promet kako bi bili uključeni u popis dopuštenih robota. Standardni pretplatnici ograničeni su na jednu nit i jednu vrstu proxyja, dok VIP korisnici uživaju u fleksibilnosti korištenja od 100 do 5000 niti i mogu birati između SOCKS4, SOCKS5 ili HTTP vrsta proxyja.

Rezidencijalni proxy botnetovi predstavljaju unosan posao sa značajnim utjecajem na internetsku sigurnost i neovlaštenu potrošnju propusnosti. Ove se usluge obično koriste u svrhe kao što su pokretanje kupovnih robota i zaobilaženje geo-ograničenja, što ih čini iznimno popularnima.