Ботнет Socks5Systemz

Прокси-ботнет, известный как Socks5Systemz, незаметно проникает в компьютеры по всему миру через загрузчики вредоносных программ PrivateLoader и Amadey . На данный момент он успешно взломал 10 000 устройств. Это угрожающее программное обеспечение захватывает контроль над зараженными компьютерами, превращая их в невольные каналы для различных типов недобросовестного, незаконного или анонимного интернет-трафика. Ботнет предлагает эту услугу подписчикам, которые могут получить к ней доступ за плату от 1 до 140 долларов в день, выплачиваемую в криптовалюте.

Эксперты по кибербезопасности обнаружили, что прокси-ботнет Socks5Systemz действует как минимум с 2016 года, однако ему удалось избежать значительного внимания, действуя в тени.

Ботнет Socks5Systemz обеспечивает постоянство зараженных систем

Ботнет Socks5Systemz распространяется через вредоносное ПО PrivateLoader и Amadey, которое обычно распространяется с помощью различных средств, таких как фишинг, наборы эксплойтов, вредоносная реклама и исполняемые файлы, зараженные троянами, загружаемые из одноранговых сетей.

Исследователи обнаружили образцы ботнетов, помеченные как «previewer.exe», предназначенные для проникновения в память хоста и обеспечения устойчивости через службу Windows под названием «ContentDWSvc». Полезная нагрузка прокси-бота имеет форму 32-разрядной библиотеки DLL размером 300 КБ. Он использует систему алгоритма генерации домена (DGA) для соединения со своим сервером управления и контроля (C2) и передачи информации о профилировании зараженной машины.

В ответ сервер C2 может выдать на выполнение одну из следующих команд:

• • «холостой»: никаких действий не предпринимается.

• • «connect»: установить соединение с сервером обратного подключения.

• • «отключить»: разорвать соединение с сервером обратного подключения.

• • «updips»: обновить список авторизованных IP-адресов для отправки трафика.

• • «upduris»: эта команда еще не реализована.

Команда «connect» особенно важна, поскольку она предписывает боту создать соединение с сервером обратного подключения через порт 1074/TCP.

После подключения к инфраструктуре, контролируемой злоумышленниками, скомпрометированное устройство преобразуется в прокси-сервер, который можно продавать другим злоумышленникам. При соединении с сервером обратного подключения он использует определенные параметры полей для определения IP-адреса, пароля прокси-сервера и списка ограниченных портов. Эти параметры гарантируют, что только боты из списка разрешенных с соответствующими учетными данными могут взаимодействовать с серверами управления, эффективно предотвращая несанкционированные попытки.

Ботнет Socks5Systemz продается в нескольких ценовых категориях

Только в октябре 2023 года аналитики зафиксировали в общей сложности 10 000 уникальных попыток связи через порт 1074/TCP с идентифицированными серверами обратного подключения. Эти попытки соответствуют равному числу жертв. Распределение этих жертв широко распространено и в некоторой степени случайно и охватывает весь земной шар. Однако в таких странах, как Индия, США, Бразилия, Колумбия, Южная Африка, Аргентина и Нигерия, зафиксирован самый высокий уровень заражения.

Доступ к прокси-сервисам Socks5Systemz предоставляется через два уровня подписки: «Стандартный» и «VIP». Клиенты осуществляют платежи через анонимный платежный шлюз «Cryptomus».

Подписчикам необходимо указать IP-адрес, с которого исходит проксируемый трафик, чтобы их включили в белый список бота. Стандартные подписчики ограничены одним потоком и одним типом прокси, в то время как VIP-пользователи могут использовать от 100 до 5000 потоков и могут выбирать типы прокси-серверов SOCKS4, SOCKS5 или HTTP.

Резидентные прокси-ботнеты представляют собой прибыльный бизнес, оказывающий существенное влияние на безопасность Интернета и несанкционированное использование полосы пропускания. Эти сервисы обычно используются для таких целей, как запуск торговых ботов и обход географических ограничений, что делает их исключительно популярными.