Socks5Systemz Botnet

O rețea botnet proxy cunoscută sub numele de „Socks5Systemz” s-a infiltrat în liniște în computerele din întreaga lume prin intermediul încărcătoarelor de malware „ PrivateLoader ” și „ Amadey ”. În prezent, a compromis cu succes 10.000 de dispozitive. Acest software amenințător preia controlul asupra computerelor infectate, transformându-le în conducte involuntare pentru diferite tipuri de trafic internet fără scrupule, ilicit sau anonim. Botnet-ul oferă acest serviciu abonaților, care îl pot accesa pentru o taxă cuprinsă între 1 USD și 140 USD pe zi, plătită în criptomonedă.

Experții în securitate cibernetică au descoperit că rețeaua botnet proxy Socks5Systemz funcționează cel puțin din 2016, dar a reușit să se sustragă atenției semnificative, operând în umbră.

Botnetul Socks5Systemz stabilește persistența pe sistemele infectate

Rețeaua botnet Socks5Systemz este diseminată prin PrivateLoader și programul malware Amadey, propagat în mod obișnuit prin diverse mijloace, cum ar fi phishing, kituri de exploatare, malvertising și executabile troiene descărcate din rețele peer-to-peer.

Cercetătorii au identificat eșantioane de botnet etichetate drept „previewer.exe”, concepute pentru a se infiltre în memoria gazdei și a stabili persistența printr-un serviciu Windows numit „ContentDWSvc”. Sarcina utilă a botului proxy ia forma unui DLL de 300 KB pe 32 de biți. Utilizează un sistem de algoritm de generare de domenii (DGA) pentru a se conecta la serverul său de comandă și control (C2) și pentru a transmite informații de profilare despre mașina infectată.

Ca răspuns, serverul C2 poate lansa una dintre următoarele comenzi pentru execuție:

• • 'idle': Nu se ia nicio măsură.

• • „conectare”: stabiliți o conexiune la un server de backconnect.

• • „disconnect”: întrerupeți conexiunea la serverul de backconnect.

• • „updips”: Actualizați lista de adrese IP autorizate pentru trimiterea traficului.

• • 'upduris': Această comandă nu este încă implementată.

Comanda „conectare” este deosebit de semnificativă, deoarece direcționează botul să creeze o conexiune la un server de backconnect prin portul 1074/TCP.

Odată conectat la infrastructura controlată de actorii amenințărilor, dispozitivul compromis este transformat într-un server proxy care poate fi comercializat altor actori amenințări. Când se conectează la serverul de backconnect, acesta utilizează parametri specifici de câmp pentru a stabili adresa IP, parola proxy și o listă de porturi restricționate. Acești parametri asigură că numai boții din lista permisă cu acreditările de conectare corespunzătoare pot interacționa cu serverele de control, împiedicând efectiv încercările neautorizate.

Rețeaua botnet Socks5Systemz este vândută la mai multe niveluri de preț

Chiar în octombrie 2023, analiștii au documentat un total de 10.000 de încercări unice de comunicare prin portul 1074/TCP cu serverele de backconnect identificate. Aceste încercări corespund unui număr egal de victime. Distribuția acestor victime este larg răspândită și oarecum aleatorie, cuprinzând pe întreg globul. Cu toate acestea, țări precum India, Statele Unite, Brazilia, Columbia, Africa de Sud, Argentina și Nigeria au cele mai mari rate de infecție înregistrate.

Accesul la serviciile proxy Socks5Systemz este disponibil prin două niveluri de abonament, cunoscute sub numele de „Standard” și „VIP”. Clienții efectuează plăți prin gateway-ul de plată anonim „Cryptomus”.

Abonații trebuie să specifice adresa IP de la care provine traficul proxy pentru a fi incluși în lista permisă a botului. Abonații standard sunt limitați la un singur fir și un tip de proxy, în timp ce utilizatorii VIP se bucură de flexibilitatea de a utiliza 100 până la 5000 de fire și pot alege dintre tipurile de proxy SOCKS4, SOCKS5 sau HTTP.

Rețelele botnet rezidențiale proxy reprezintă o afacere profitabilă, cu un impact substanțial asupra securității Internetului și a consumului neautorizat de lățime de bandă. Aceste servicii sunt utilizate în mod obișnuit în scopuri precum rularea roboților de cumpărături și eludarea restricțiilor geografice, făcându-le excepțional de populare.