Socks5Systemz Botnet

Et proxy-botnett kjent som 'Socks5Systemz' har i det stille infiltrert datamaskiner over hele verden gjennom skadevarelasterne ' PrivateLoader ' og ' Amadey '. For tiden har den kompromittert 10 000 enheter. Denne truende programvaren tar kontroll over infiserte datamaskiner, og forvandler dem til uvitende kanaler for ulike typer skruppelløs, ulovlig eller anonym Internett-trafikk. Botnettet tilbyr denne tjenesten til abonnenter, som kan få tilgang til den mot en avgift som varierer fra $1 til $140 per dag, betalt i kryptovaluta.

Eksperter på nettsikkerhet har oppdaget at Socks5Systemz proxy-botnett har vært i drift siden minst 2016, men det har klart å unngå betydelig oppmerksomhet, og opererer i skyggene.

Socks5Systemz Botnet etablerer persistens på infiserte systemer

Socks5Systemz-botnettet spres gjennom PrivateLoader og Amadey malware, som vanligvis spres via ulike måter som phishing, utnyttelsessett, malvertising og trojaniserte kjørbare filer lastet ned fra peer-to-peer-nettverk.

Forskerne identifiserte botnettprøver merket som 'previewer.exe' designet for å infiltrere vertens minne og etablere utholdenhet gjennom en Windows-tjeneste kalt 'ContentDWSvc.' Proxy-bot-nyttelasten har form av en 300 KB 32-biters DLL. Den bruker et domenegenereringsalgoritmesystem (DGA) for å koble til Command-and-Control-serveren (C2) og overføre profilinformasjon om den infiserte maskinen.

Som svar kan C2-serveren utstede en av følgende kommandoer for kjøring:

• 'tomgang': Ingen handling utføres.
• 'connect': Etabler en tilkobling til en tilbakekoblingsserver.
• 'disconnect': Koble tilkoblingen til tilbakekoblingsserveren.
• 'updips': Oppdater listen over autoriserte IP-adresser for å sende trafikk.
• 'upduris': Denne kommandoen er ennå ikke implementert.

'Koble til'-kommandoen er spesielt viktig, ettersom den leder boten til å opprette en tilkobling til en tilbakekoblingsserver over port 1074/TCP.

Når den er koblet til infrastrukturen kontrollert av trusselaktører, blir den kompromitterte enheten forvandlet til en proxy-server som kan markedsføres til andre trusselaktører. Når du kobler til tilbakekoblingsserveren, bruker den spesifikke feltparametere for å finne ut IP-adressen, proxy-passordet og en liste over begrensede porter. Disse parameterne sikrer at bare roboter på den tillatte listen med riktig påloggingsinformasjon kan samhandle med kontrollserverne, og effektivt hindre uautoriserte forsøk.

Socks5Systemz Botnet selges til flere prisnivåer

Bare i oktober 2023 har analytikere dokumentert totalt 10 000 unike kommunikasjonsforsøk via port 1074/TCP med de identifiserte tilbakekoblingsserverne. Disse forsøkene tilsvarer et like stort antall ofre. Fordelingen av disse ofrene er utbredt og noe tilfeldig, og spenner over hele kloden. Imidlertid har land som India, USA, Brasil, Colombia, Sør-Afrika, Argentina og Nigeria de høyeste registrerte infeksjonsratene.

Tilgang til Socks5Systemz proxy-tjenester er tilgjengelig gjennom to abonnementsnivåer, kjent som 'Standard' og 'VIP'. Kunder foretar betalinger gjennom den anonyme betalingsgatewayen "Cryptomus".

Abonnenter må spesifisere IP-adressen som proxy-trafikken kommer fra for å bli inkludert i botens godkjenningsliste. Standardabonnenter er begrenset til én enkelt tråd og én proxy-type, mens VIP-brukere nyter fleksibiliteten ved å bruke 100 til 5000 tråder og kan velge mellom SOCKS4, SOCKS5 eller HTTP proxy-typer.

Boligproxy-botnett representerer en lukrativ virksomhet med en betydelig innvirkning på Internett-sikkerhet og uautorisert forbruk av båndbredde. Disse tjenestene brukes ofte til formål som å kjøre shoppingroboter og omgå geo-restriksjoner, noe som gjør dem eksepsjonelt populære.