Botnet Socks5Systemz
Botnet proxy znany jako „Socks5Systemz” po cichu infiltruje komputery na całym świecie za pośrednictwem programów ładujących złośliwe oprogramowanie „ PrivateLoader ” i „ Amadey ”. Obecnie udało mu się złamać zabezpieczenia 10 000 urządzeń. To groźne oprogramowanie przejmuje kontrolę nad zainfekowanymi komputerami, przekształcając je w nieświadome kanały dla różnego rodzaju pozbawionego skrupułów, nielegalnego lub anonimowego ruchu internetowego. Botnet oferuje tę usługę subskrybentom, którzy mogą uzyskać do niego dostęp za opłatą w wysokości od 1 do 140 dolarów dziennie, płatną w kryptowalucie.
Eksperci ds. cyberbezpieczeństwa odkryli, że botnet proxy Socks5Systemz działa co najmniej od 2016 roku, mimo to udało mu się uniknąć znacznej uwagi, działając w cieniu.
Botnet Socks5Systemz utrzymuje się na zainfekowanych systemach
Botnet Socks5Systemz jest rozpowszechniany za pośrednictwem oprogramowania PrivateLoader i złośliwego oprogramowania Amadey, powszechnie rozprzestrzenianego za pomocą różnych środków, takich jak phishing, zestawy exploitów, złośliwe reklamy i zaatakowane trojanami pliki wykonywalne pobierane z sieci peer-to-peer.
Badacze zidentyfikowali próbki botnetu oznaczone jako „previewer.exe”, których celem było infiltrowanie pamięci hosta i ustalanie trwałości za pośrednictwem usługi Windows o nazwie „ContentDWSvc”. Ładunek bota proxy ma postać 32-bitowej biblioteki DLL o rozmiarze 300 KB. Wykorzystuje system algorytmu generowania domeny (DGA) do łączenia się z serwerem dowodzenia i kontroli (C2) i przesyłania informacji profilowanych o zainfekowanej maszynie.
W odpowiedzi serwer C2 może wydać jedno z następujących poleceń do wykonania:
-
- „bezczynny”: nie została podjęta żadna akcja.
-
- „connect”: Nawiąż połączenie z serwerem połączenia zwrotnego.
-
- „disconnect”: Zerwij połączenie z serwerem połączenia zwrotnego.
-
- „updips”: aktualizuj listę autoryzowanych adresów IP do wysyłania ruchu.
-
- „upduris”: To polecenie nie zostało jeszcze zaimplementowane.
Polecenie „connect” jest szczególnie istotne, ponieważ nakazuje botowi utworzenie połączenia z serwerem backconnect przez port 1074/TCP.
Po podłączeniu do infrastruktury kontrolowanej przez podmioty zagrażające, zaatakowane urządzenie przekształca się w serwer proxy, który można sprzedawać innym podmiotom zagrażającym. Podczas łączenia się z serwerem połączenia wstecznego wykorzystuje określone parametry pola w celu ustalenia adresu IP, hasła proxy i listy portów z ograniczeniami. Parametry te zapewniają, że tylko boty znajdujące się na liście dozwolonych z odpowiednimi danymi logowania mogą wchodzić w interakcję z serwerami kontrolnymi, skutecznie udaremniając nieautoryzowane próby.
Botnet Socks5Systemz jest sprzedawany w kilku poziomach cenowych
Tylko w październiku 2023 r. analitycy udokumentowali łącznie 10 000 unikalnych prób komunikacji przez port 1074/TCP ze zidentyfikowanymi serwerami backconnect. Próby te odpowiadają równej liczbie ofiar. Rozmieszczenie tych ofiar jest powszechne i nieco losowe i obejmuje cały świat. Jednak kraje takie jak Indie, Stany Zjednoczone, Brazylia, Kolumbia, Republika Południowej Afryki, Argentyna i Nigeria mają najwyższe odnotowane wskaźniki infekcji.
Dostęp do usług proxy Socks5Systemz jest dostępny na dwóch poziomach subskrypcji, znanych jako „Standardowy” i „VIP”. Klienci dokonują płatności za pośrednictwem anonimowej bramki płatniczej „Cryptomus”.
Abonenci muszą podać adres IP, z którego pochodzi ruch proxy, aby mogli zostać umieszczeni na liście dozwolonych bota. Abonenci standardowi są ograniczeni do jednego wątku i jednego typu proxy, natomiast użytkownicy VIP mogą cieszyć się elastycznością korzystania z od 100 do 5000 wątków i mogą wybierać spośród typów proxy SOCKS4, SOCKS5 lub HTTP.
Botnety proxy do użytku domowego stanowią dochodowy biznes mający istotny wpływ na bezpieczeństwo Internetu i nieuprawnione wykorzystanie przepustowości. Usługi te są powszechnie wykorzystywane do celów takich jak uruchamianie botów zakupowych i omijanie ograniczeń geograficznych, co czyni je wyjątkowo popularnymi.