Socks5Systemz Botnet

Um botnet proxy conhecido como ‘Socks5Systemz’ tem se infiltrado silenciosamente em computadores em todo o mundo através dos carregadores de malware ‘PrivateLoader' e ‘Amadey’. Atualmente, comprometeu com sucesso 10.000 dispositivos. Este software ameaçador assume o controle dos computadores infectados, transformando-os em canais involuntários para vários tipos de tráfego de Internet inescrupuloso, ilícito ou anônimo. A botnet oferece esse serviço aos assinantes, que podem acessá-lo por uma taxa que varia de US$1 a US$140 por dia, paga em criptomoeda.

Especialistas em segurança cibernética descobriram que o botnet proxy Socks5Systemz está em operação desde pelo menos 2016, mas conseguiu escapar de atenção significativa, operando nas sombras.

O Botnet Socks5Systemz Estabelece Persistência nos Sistemas Infectados

O botnet Socks5Systemz é disseminado por meio do malware PrivateLoader e Amadey, comumente propagado por vários meios, como phishing, kits de exploração, malvertising e executáveis trojanizados baixados de redes peer-to-peer.

Os pesquisadores identificaram amostras de botnets rotuladas como ‘previewer.exe’, projetadas para se infiltrar na memória do host e estabelecer persistência por meio de um serviço do Windows chamado ‘ContentDWSvc’. A carga útil do bot proxy assume a forma de uma DLL de 300 KB de 32 bits. Ele emprega um sistema de algoritmo de geração de domínio (DGA) para se conectar ao seu servidor de Comando e Controle (C2) e transmitir informações de perfil sobre a máquina infectada.

Em resposta, o servidor C2 pode emitir um dos seguintes comandos para execução:

• • 'idle': Nenhuma ação é tomada.

• • 'connect': Estabelece uma conexão com um servidor backconnect.

• • 'disconnect': interrompe a conexão com o servidor backconnect.

• • 'updips': Atualize a lista de endereços IP autorizados para envio de tráfego.

• • 'upduris': Este comando ainda não está implementado.

O comando ‘connect’ é particularmente significativo, pois orienta o bot a criar uma conexão com um servidor backconnect pela porta 1074/TCP.

Uma vez conectado à infraestrutura controlada pelos agentes da ameaça, o dispositivo comprometido é transformado em um servidor proxy que pode ser comercializado para outros agentes da ameaça. Ao vincular ao servidor backconnect, ele utiliza parâmetros de campo específicos para verificar o endereço IP, a senha do proxy e uma lista de portas restritas. Esses parâmetros garantem que apenas bots na lista de permitidos com as credenciais de login apropriadas possam interagir com os servidores de controle, impedindo efetivamente tentativas não autorizadas.

O Botnet Socks5Systemz é Vendido a Vários Níveis de Preço

Apenas em outubro de 2023, os analistas documentaram um total de 10.000 tentativas únicas de comunicação através da porta 1074/TCP com os servidores backconnect identificados. Estas tentativas correspondem a igual número de vítimas. A distribuição destas vítimas é generalizada e um tanto aleatória, abrangendo todo o mundo. No entanto, países como a Índia, os Estados Unidos, o Brasil, a Colômbia, a África do Sul, a Argentina e a Nigéria apresentam as taxas de infecção mais elevadas registadas.

O acesso aos serviços de proxy Socks5Systemz está disponível por meio de dois níveis de assinatura, conhecidos como ‘Standard’ e ‘VIP’. Os clientes fazem pagamentos através do gateway de pagamento anônimo ‘Cryptomus’.

Os assinantes são obrigados a especificar o endereço IP de origem do tráfego proxy para serem incluídos na lista de permissões do bot. Os assinantes padrão são limitados a um único thread e um tipo de proxy, enquanto os usuários VIP desfrutam da flexibilidade de usar de 100 a 5.000 threads e podem selecionar entre os tipos de proxy SOCKS4, SOCKS5 ou HTTP.

As botnets proxy residenciais representam um negócio lucrativo com um impacto substancial na segurança da Internet e no consumo não autorizado de largura de banda. Esses serviços são comumente utilizados para fins como executar bots de compras e contornar restrições geográficas, o que os torna excepcionalmente populares.