Socks5Systemz Botnet

Una botnet proxy nota come "Socks5Systemz" si è silenziosamente infiltrata nei computer di tutto il mondo attraverso i caricatori di malware " PrivateLoader " e " Amadey ". Attualmente ha compromesso con successo 10.000 dispositivi. Questo software minaccioso prende il controllo dei computer infetti, trasformandoli in canali inconsapevoli di vari tipi di traffico Internet senza scrupoli, illecito o anonimo. La botnet offre questo servizio agli abbonati, che possono accedervi pagando una tariffa compresa tra 1 e 140 dollari al giorno, pagata in criptovaluta.

Gli esperti di sicurezza informatica hanno scoperto che la botnet proxy Calze5Systemz è operativa almeno dal 2016, ma è riuscita a eludere l'attenzione significativa, operando nell'ombra.

La botnet Socks5Systemz stabilisce la persistenza sui sistemi infetti

La botnet Calze5Systemz viene diffusa tramite PrivateLoader e il malware Amadey, comunemente propagato tramite vari mezzi come phishing, exploit kit, malvertising ed eseguibili con trojan scaricati da reti peer-to-peer.

I ricercatori hanno identificato campioni di botnet etichettati come "previewer.exe", progettati per infiltrarsi nella memoria dell'host e stabilire la persistenza attraverso un servizio Windows denominato "ContentDWSvc". Il payload del bot proxy assume la forma di una DLL a 32 bit da 300 KB. Utilizza un sistema di algoritmo di generazione di domini (DGA) per connettersi con il suo server di comando e controllo (C2) e trasmettere informazioni di profilazione sulla macchina infetta.

In risposta, il server C2 può emettere uno dei seguenti comandi per l'esecuzione:

• • 'idle': non viene intrapresa alcuna azione.

• • 'connect': stabilisce una connessione a un server backconnect.

• • 'disconnect': interrompe la connessione al server backconnect.

• • 'updips': aggiorna l'elenco degli indirizzi IP autorizzati per l'invio del traffico.

• • 'upduris': questo comando non è ancora implementato.

Il comando "connect" è particolarmente significativo, poiché indica al bot di creare una connessione a un server backconnect sulla porta 1074/TCP.

Una volta connesso all'infrastruttura controllata dagli autori delle minacce, il dispositivo compromesso viene trasformato in un server proxy che può essere commercializzato ad altri autori delle minacce. Quando si collega al server backconnect, utilizza parametri di campo specifici per accertare l'indirizzo IP, la password del proxy e un elenco di porte limitate. Questi parametri garantiscono che solo i bot presenti nell'elenco dei consentiti con le credenziali di accesso appropriate possano interagire con i server di controllo, contrastando di fatto i tentativi non autorizzati.

La botnet Calze5Systemz viene venduta a diversi livelli di prezzo

Solo nell’ottobre 2023 gli analisti hanno documentato un totale di 10.000 tentativi di comunicazione unici tramite la porta 1074/TCP con i server di backconnect identificati. A questi tentativi corrisponde un egual numero di vittime. La distribuzione di queste vittime è diffusa e alquanto casuale e abbraccia l’intero globo. Tuttavia, paesi come India, Stati Uniti, Brasile, Colombia, Sud Africa, Argentina e Nigeria hanno i tassi di infezione più alti registrati.

L'accesso ai servizi proxy di Calze5Systemz è disponibile tramite due livelli di abbonamento, noti come "Standard" e "VIP". I clienti effettuano pagamenti tramite il gateway di pagamento anonimo "Cryptomus".

Agli abbonati è richiesto di specificare l'indirizzo IP da cui ha origine il traffico proxy per essere incluso nella lista consentita del bot. Gli abbonati standard sono limitati a un singolo thread e un tipo di proxy, mentre gli utenti VIP godono della flessibilità di utilizzare da 100 a 5000 thread e possono scegliere tra i tipi di proxy SOCKS4, SOCKS5 o HTTP.

Le botnet proxy residenziali rappresentano un business redditizio con un impatto sostanziale sulla sicurezza Internet e sul consumo non autorizzato di larghezza di banda. Questi servizi sono comunemente utilizzati per scopi come l'esecuzione di bot per lo shopping e l'elusione delle restrizioni geografiche, rendendoli eccezionalmente popolari.