Socks5Systemz-botnet

Een proxy-botnet bekend als 'Socks5Systemz' infiltreert stilletjes computers over de hele wereld via de malware-laders ' PrivateLoader ' en ' Amadey '. Momenteel heeft het met succes 10.000 apparaten gecompromitteerd. Deze bedreigende software neemt de controle over geïnfecteerde computers over en verandert deze in onwetende kanalen voor verschillende soorten gewetenloos, illegaal of anoniem internetverkeer. Het botnet biedt deze dienst aan abonnees, die er toegang toe hebben tegen een vergoeding variërend van $1 tot $140 per dag, betaald in cryptocurrency.

Cybersecurity-experts hebben ontdekt dat het proxy-botnet van Socks5Systemz al sinds 2016 actief is, maar er toch in is geslaagd de aandacht te ontwijken door in de schaduw te opereren.

Het Socks5Systemz-botnet zorgt voor persistentie op geïnfecteerde systemen

Het Socks5Systemz-botnet wordt verspreid via de PrivateLoader- en de Amadey-malware, die gewoonlijk wordt verspreid via verschillende middelen, zoals phishing, exploitkits, malvertising en getrojaniseerde uitvoerbare bestanden die worden gedownload van peer-to-peer-netwerken.

De onderzoekers identificeerden botnet-voorbeelden met de naam 'previewer.exe', ontworpen om het geheugen van de host te infiltreren en persistentie tot stand te brengen via een Windows-service genaamd 'ContentDWSvc'. De payload van de proxybot heeft de vorm van een 32-bits DLL van 300 KB. Het maakt gebruik van een DGA-systeem (Domain Generation Algoritme) om verbinding te maken met de Command-and-Control (C2)-server en profileringsinformatie over de geïnfecteerde machine te verzenden.

Als reactie hierop kan de C2-server een van de volgende opdrachten geven ter uitvoering:

• 'idle': Er wordt geen actie ondernomen.
• 'connect': Breng een verbinding tot stand met een backconnect-server.
• 'disconnect': Verbreek de verbinding met de backconnect-server.
• 'updips': Update de lijst met geautoriseerde IP-adressen voor het verzenden van verkeer.
• 'upduris': Dit commando is nog niet geïmplementeerd.

Het 'connect'-commando is bijzonder belangrijk, omdat het de bot opdracht geeft een verbinding tot stand te brengen met een backconnect-server via poort 1074/TCP.

Eenmaal verbonden met de infrastructuur die wordt beheerd door bedreigingsactoren, wordt het aangetaste apparaat getransformeerd in een proxyserver die op de markt kan worden gebracht aan andere bedreigingsactoren. Bij het koppelen aan de backconnect-server worden specifieke veldparameters gebruikt om het IP-adres, het proxywachtwoord en een lijst met beperkte poorten vast te stellen. Deze parameters zorgen ervoor dat alleen bots op de toegestane lijst met de juiste inloggegevens kunnen communiceren met de controleservers, waardoor ongeautoriseerde pogingen effectief worden verijdeld.

Het Socks5Systemz Botnet wordt verkocht in verschillende prijsniveaus

Alleen al in oktober 2023 hebben analisten in totaal 10.000 unieke communicatiepogingen via poort 1074/TCP met de geïdentificeerde backconnect-servers gedocumenteerd. Deze pogingen komen overeen met een gelijk aantal slachtoffers. De verspreiding van deze slachtoffers is wijdverspreid en enigszins willekeurig, over de hele wereld. Landen als India, de Verenigde Staten, Brazilië, Colombia, Zuid-Afrika, Argentinië en Nigeria hebben echter de hoogste geregistreerde besmettingspercentages.

Toegang tot de proxydiensten van Socks5Systemz is beschikbaar via twee abonnementsniveaus, bekend als 'Standaard' en 'VIP'. Klanten doen betalingen via de anonieme betalingsgateway 'Cryptomus.'

Abonnees moeten het IP-adres opgeven waarvan het proxyverkeer afkomstig is om op de toelatingslijst van de bot te worden geplaatst. Standaardabonnees zijn beperkt tot één thread en één proxytype, terwijl VIP-gebruikers genieten van de flexibiliteit van het gebruik van 100 tot 5000 threads en kunnen kiezen uit SOCKS4-, SOCKS5- of HTTP-proxytypes.

Residentiële proxybotnets vertegenwoordigen een lucratieve business met een substantiële impact op de internetbeveiliging en het ongeoorloofde verbruik van bandbreedte. Deze services worden vaak gebruikt voor doeleinden zoals het runnen van winkelbots en het omzeilen van geografische beperkingen, waardoor ze uitzonderlijk populair zijn.