Socks5Systemz Botnet

'Socks5Systemz' ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਇੱਕ ਪ੍ਰੌਕਸੀ ਬੋਟਨੈੱਟ ' ਪ੍ਰਾਈਵੇਟਲੋਡਰ ' ਅਤੇ ' ਅਮੇਡੇ ' ਮਾਲਵੇਅਰ ਲੋਡਰਾਂ ਰਾਹੀਂ ਦੁਨੀਆ ਭਰ ਦੇ ਕੰਪਿਊਟਰਾਂ ਵਿੱਚ ਚੁੱਪ-ਚਾਪ ਘੁਸਪੈਠ ਕਰ ਰਿਹਾ ਹੈ। ਵਰਤਮਾਨ ਵਿੱਚ, ਇਸ ਨੇ ਸਫਲਤਾਪੂਰਵਕ 10,000 ਡਿਵਾਈਸਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਹੈ। ਇਹ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਸੌਫਟਵੇਅਰ ਸੰਕਰਮਿਤ ਕੰਪਿਊਟਰਾਂ ਦਾ ਨਿਯੰਤਰਣ ਖੋਹ ਲੈਂਦਾ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਕਈ ਕਿਸਮ ਦੇ ਬੇਈਮਾਨ, ਗੈਰ-ਕਾਨੂੰਨੀ, ਜਾਂ ਅਗਿਆਤ ਇੰਟਰਨੈਟ ਟ੍ਰੈਫਿਕ ਲਈ ਅਣਜਾਣੇ ਵਿੱਚ ਬਦਲਦਾ ਹੈ। ਬੋਟਨੈੱਟ ਗਾਹਕਾਂ ਨੂੰ ਇਸ ਸੇਵਾ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ, ਜੋ ਇਸ ਨੂੰ $1 ਤੋਂ $140 ਪ੍ਰਤੀ ਦਿਨ, ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਵਿੱਚ ਅਦਾ ਕੀਤੀ ਫੀਸ ਲਈ ਐਕਸੈਸ ਕਰ ਸਕਦੇ ਹਨ।

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਨੇ ਖੋਜ ਕੀਤੀ ਹੈ ਕਿ Socks5Systemz ਪ੍ਰੌਕਸੀ ਬੋਟਨੈੱਟ ਘੱਟੋ-ਘੱਟ 2016 ਤੋਂ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ, ਫਿਰ ਵੀ ਇਹ ਪਰਛਾਵੇਂ ਵਿੱਚ ਕੰਮ ਕਰਦੇ ਹੋਏ ਮਹੱਤਵਪੂਰਨ ਧਿਆਨ ਦੇਣ ਤੋਂ ਬਚਣ ਵਿੱਚ ਕਾਮਯਾਬ ਰਿਹਾ ਹੈ।

Socks5Systemz Botnet ਸੰਕਰਮਿਤ ਪ੍ਰਣਾਲੀਆਂ 'ਤੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ

Socks5Systemz botnet ਨੂੰ ਪ੍ਰਾਈਵੇਟ ਲੋਡਰ ਅਤੇ ਅਮੇਡੇ ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਆਮ ਤੌਰ 'ਤੇ ਪੀਅਰ-ਟੂ-ਪੀਅਰ ਨੈੱਟਵਰਕਾਂ ਤੋਂ ਡਾਊਨਲੋਡ ਕੀਤੇ ਗਏ ਫਿਸ਼ਿੰਗ, ਸ਼ੋਸ਼ਣ ਕਿੱਟਾਂ, ਮਾਲਵਰਟਾਈਜ਼ਿੰਗ, ਅਤੇ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਵਰਗੇ ਵੱਖ-ਵੱਖ ਸਾਧਨਾਂ ਰਾਹੀਂ ਪ੍ਰਚਾਰਿਆ ਜਾਂਦਾ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ 'previewer.exe' ਵਜੋਂ ਲੇਬਲ ਕੀਤੇ ਬੋਟਨੈੱਟ ਨਮੂਨਿਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ, ਜੋ ਮੇਜ਼ਬਾਨ ਦੀ ਮੈਮੋਰੀ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਅਤੇ 'ContentDWSvc' ਨਾਮ ਦੀ ਇੱਕ ਵਿੰਡੋਜ਼ ਸੇਵਾ ਦੁਆਰਾ ਦ੍ਰਿੜਤਾ ਸਥਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ। ਪ੍ਰੌਕਸੀ ਬੋਟ ਪੇਲੋਡ ਇੱਕ 300 KB 32-ਬਿੱਟ DLL ਦਾ ਰੂਪ ਲੈਂਦਾ ਹੈ। ਇਹ ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਜੁੜਨ ਅਤੇ ਸੰਕਰਮਿਤ ਮਸ਼ੀਨ ਬਾਰੇ ਪ੍ਰੋਫਾਈਲਿੰਗ ਜਾਣਕਾਰੀ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਲਈ ਇੱਕ ਡੋਮੇਨ ਜਨਰੇਸ਼ਨ ਐਲਗੋਰਿਦਮ (DGA) ਸਿਸਟਮ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ।

ਜਵਾਬ ਵਿੱਚ, C2 ਸਰਵਰ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ਹੇਠ ਲਿਖੀਆਂ ਕਮਾਂਡਾਂ ਵਿੱਚੋਂ ਇੱਕ ਜਾਰੀ ਕਰ ਸਕਦਾ ਹੈ:

• 'idle': ਕੋਈ ਕਾਰਵਾਈ ਨਹੀਂ ਕੀਤੀ ਗਈ।
• 'ਕਨੈਕਟ': ਬੈਕਕਨੈਕਟ ਸਰਵਰ ਨਾਲ ਕੁਨੈਕਸ਼ਨ ਸਥਾਪਿਤ ਕਰੋ।
• 'ਡਿਸਕਨੈਕਟ': ਬੈਕਕਨੈਕਟ ਸਰਵਰ ਨਾਲ ਕੁਨੈਕਸ਼ਨ ਕੱਟੋ।
• 'updips': ਟ੍ਰੈਫਿਕ ਭੇਜਣ ਲਈ ਅਧਿਕਾਰਤ IP ਪਤਿਆਂ ਦੀ ਸੂਚੀ ਨੂੰ ਅੱਪਡੇਟ ਕਰੋ।
• 'upduris': ਇਹ ਕਮਾਂਡ ਅਜੇ ਲਾਗੂ ਨਹੀਂ ਕੀਤੀ ਗਈ ਹੈ।

'ਕਨੈਕਟ' ਕਮਾਂਡ ਖਾਸ ਤੌਰ 'ਤੇ ਮਹੱਤਵਪੂਰਨ ਹੈ, ਕਿਉਂਕਿ ਇਹ ਬੋਟ ਨੂੰ ਪੋਰਟ 1074/TCP ਉੱਤੇ ਇੱਕ ਬੈਕਕਨੈਕਟ ਸਰਵਰ ਨਾਲ ਕੁਨੈਕਸ਼ਨ ਬਣਾਉਣ ਲਈ ਨਿਰਦੇਸ਼ਿਤ ਕਰਦਾ ਹੈ।

ਇੱਕ ਵਾਰ ਖ਼ਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਜੁੜ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਡਿਵਾਈਸ ਇੱਕ ਪ੍ਰੌਕਸੀ ਸਰਵਰ ਵਿੱਚ ਬਦਲ ਜਾਂਦਾ ਹੈ ਜਿਸਨੂੰ ਹੋਰ ਖ਼ਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਵੇਚਿਆ ਜਾ ਸਕਦਾ ਹੈ। ਜਦੋਂ ਬੈਕਕਨੈਕਟ ਸਰਵਰ ਨਾਲ ਲਿੰਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ IP ਐਡਰੈੱਸ, ਪ੍ਰੌਕਸੀ ਪਾਸਵਰਡ, ਅਤੇ ਪ੍ਰਤਿਬੰਧਿਤ ਪੋਰਟਾਂ ਦੀ ਸੂਚੀ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਖਾਸ ਫੀਲਡ ਪੈਰਾਮੀਟਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਮਾਪਦੰਡ ਇਹ ਸੁਨਿਸ਼ਚਿਤ ਕਰਦੇ ਹਨ ਕਿ ਉਚਿਤ ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੇ ਨਾਲ ਅਨੁਮਤੀ ਸੂਚੀ ਵਿੱਚ ਕੇਵਲ ਬੋਟ ਹੀ ਨਿਯੰਤਰਣ ਸਰਵਰਾਂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰ ਸਕਦੇ ਹਨ, ਅਣਅਧਿਕਾਰਤ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਨਾਕਾਮ ਕਰ ਸਕਦੇ ਹਨ।

Socks5Systemz Botnet ਕਈ ਕੀਮਤ ਟੀਅਰਜ਼ 'ਤੇ ਵੇਚਿਆ ਜਾਂਦਾ ਹੈ

ਸਿਰਫ਼ ਅਕਤੂਬਰ 2023 ਵਿੱਚ, ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਪਛਾਣੇ ਗਏ ਬੈਕਕਨੈਕਟ ਸਰਵਰਾਂ ਦੇ ਨਾਲ ਪੋਰਟ 1074/TCP ਰਾਹੀਂ ਕੁੱਲ 10,000 ਵਿਲੱਖਣ ਸੰਚਾਰ ਕੋਸ਼ਿਸ਼ਾਂ ਦਾ ਦਸਤਾਵੇਜ਼ੀਕਰਨ ਕੀਤਾ ਹੈ। ਇਹ ਕੋਸ਼ਿਸ਼ਾਂ ਪੀੜਤਾਂ ਦੀ ਬਰਾਬਰ ਗਿਣਤੀ ਨਾਲ ਮੇਲ ਖਾਂਦੀਆਂ ਹਨ। ਇਹਨਾਂ ਪੀੜਤਾਂ ਦੀ ਵੰਡ ਵਿਆਪਕ ਅਤੇ ਕੁਝ ਹੱਦ ਤੱਕ ਬੇਤਰਤੀਬ ਹੈ, ਪੂਰੀ ਦੁਨੀਆ ਵਿੱਚ ਫੈਲੀ ਹੋਈ ਹੈ। ਹਾਲਾਂਕਿ, ਭਾਰਤ, ਸੰਯੁਕਤ ਰਾਜ, ਬ੍ਰਾਜ਼ੀਲ, ਕੋਲੰਬੀਆ, ਦੱਖਣੀ ਅਫਰੀਕਾ, ਅਰਜਨਟੀਨਾ ਅਤੇ ਨਾਈਜੀਰੀਆ ਵਰਗੇ ਦੇਸ਼ਾਂ ਵਿੱਚ ਸਭ ਤੋਂ ਵੱਧ ਸੰਕਰਮਣ ਦਰ ਦਰਜ ਕੀਤੀ ਗਈ ਹੈ।

Socks5Systemz ਪ੍ਰੌਕਸੀ ਸੇਵਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਦੋ ਸਬਸਕ੍ਰਿਪਸ਼ਨ ਟੀਅਰਾਂ ਰਾਹੀਂ ਉਪਲਬਧ ਹੈ, ਜਿਨ੍ਹਾਂ ਨੂੰ 'ਸਟੈਂਡਰਡ' ਅਤੇ 'VIP' ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਗਾਹਕ ਅਗਿਆਤ ਭੁਗਤਾਨ ਗੇਟਵੇ 'ਕ੍ਰਿਪਟੋਮਸ' ਰਾਹੀਂ ਭੁਗਤਾਨ ਕਰਦੇ ਹਨ।

ਬੋਟ ਦੀ ਅਨੁਮਤੀ ਸੂਚੀ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਗਾਹਕਾਂ ਨੂੰ ਉਹ IP ਪਤਾ ਨਿਰਧਾਰਤ ਕਰਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ ਜਿਸ ਤੋਂ ਪ੍ਰੌਕਸੀਡ ਟ੍ਰੈਫਿਕ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ। ਮਿਆਰੀ ਗਾਹਕ ਇੱਕ ਸਿੰਗਲ ਥ੍ਰੈਡ ਅਤੇ ਇੱਕ ਪ੍ਰੌਕਸੀ ਕਿਸਮ ਤੱਕ ਸੀਮਿਤ ਹੁੰਦੇ ਹਨ, ਜਦੋਂ ਕਿ VIP ਉਪਭੋਗਤਾ 100 ਤੋਂ 5000 ਥ੍ਰੈੱਡਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਲਚਕਤਾ ਦਾ ਆਨੰਦ ਲੈਂਦੇ ਹਨ ਅਤੇ SOCKS4, SOCKS5, ਜਾਂ HTTP ਪ੍ਰੌਕਸੀ ਕਿਸਮਾਂ ਵਿੱਚੋਂ ਚੁਣ ਸਕਦੇ ਹਨ।

ਰਿਹਾਇਸ਼ੀ ਪ੍ਰੌਕਸੀ ਬੋਟਨੈੱਟ ਇੰਟਰਨੈੱਟ ਸੁਰੱਖਿਆ ਅਤੇ ਬੈਂਡਵਿਡਥ ਦੀ ਅਣਅਧਿਕਾਰਤ ਖਪਤ 'ਤੇ ਕਾਫ਼ੀ ਪ੍ਰਭਾਵ ਦੇ ਨਾਲ ਇੱਕ ਮੁਨਾਫਾ ਕਾਰੋਬਾਰ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ। ਇਹਨਾਂ ਸੇਵਾਵਾਂ ਦੀ ਵਰਤੋਂ ਆਮ ਤੌਰ 'ਤੇ ਉਦੇਸ਼ਾਂ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਜਿਵੇਂ ਕਿ ਸ਼ਾਪਿੰਗ ਬੋਟ ਚਲਾਉਣਾ ਅਤੇ ਭੂ-ਪਾਬੰਦੀਆਂ ਨੂੰ ਰੋਕਣਾ, ਉਹਨਾਂ ਨੂੰ ਖਾਸ ਤੌਰ 'ਤੇ ਪ੍ਰਸਿੱਧ ਬਣਾਉਣਾ।