Botnet Socks5Systemz
Proxy botnet známy ako 'Socks5Systemz' potichu preniká do počítačov po celom svete prostredníctvom nakladačov malvéru ' PrivateLoader ' a ' Amadey '. V súčasnosti úspešne kompromitoval 10 000 zariadení. Tento hrozivý softvér sa zmocňuje kontroly nad infikovanými počítačmi a premieňa ich na nevedomé kanály pre rôzne typy bezohľadného, nezákonného alebo anonymného internetového prenosu. Botnet ponúka túto službu predplatiteľom, ktorí k nej môžu pristupovať za poplatok v rozmedzí od 1 do 140 USD za deň, platený v kryptomene.
Odborníci na kybernetickú bezpečnosť zistili, že proxy botnet Socks5Systemz je v prevádzke minimálne od roku 2016, no napriek tomu sa mu podarilo uniknúť značnej pozornosti a fungovať v tieni.
Botnet Socks5Systemz zaisťuje vytrvalosť na infikovaných systémoch
Botnet Socks5Systemz sa šíri prostredníctvom škodlivého softvéru PrivateLoader a Amadey, ktorý sa bežne šíri rôznymi spôsobmi, ako je phishing, exploit kits, malvertising a trojanizované spustiteľné súbory stiahnuté z peer-to-peer sietí.
Výskumníci identifikovali vzorky botnetov označené ako „previewer.exe“, ktoré sú navrhnuté tak, aby infiltrovali pamäť hostiteľa a zabezpečili pretrvávanie prostredníctvom služby Windows s názvom „ContentDWSvc“. Užitočné zaťaženie robota proxy má formu 300 KB 32-bitovej knižnice DLL. Využíva systém algoritmu generovania domény (DGA) na spojenie s jeho serverom Command-and-Control (C2) a prenos profilovacích informácií o infikovanom počítači.
Ako odpoveď môže server C2 vydať jeden z nasledujúcich príkazov na vykonanie:
-
- 'idle': Nevykonáva sa žiadna akcia.
-
- 'connect': Vytvorenie pripojenia k serveru spätného pripojenia.
-
- 'disconnect': Preruší spojenie so serverom backconnect.
-
- 'updips': Aktualizácia zoznamu autorizovaných IP adries na odosielanie dát.
-
- 'upduris': Tento príkaz ešte nie je implementovaný.
Príkaz „connect“ je obzvlášť dôležitý, pretože nasmeruje robota na vytvorenie pripojenia k serveru backconnect cez port 1074/TCP.
Po pripojení k infraštruktúre riadenej aktérmi hrozieb sa napadnuté zariadenie premení na proxy server, ktorý možno predávať iným aktérom hrozieb. Pri pripájaní k serveru backconnect využíva špecifické parametre poľa na zistenie IP adresy, hesla proxy a zoznamu obmedzených portov. Tieto parametre zaisťujú, že iba roboti zo zoznamu povolených s príslušnými prihlasovacími povereniami môžu interagovať s riadiacimi servermi, čím sa účinne bránia neoprávneným pokusom.
Botnet Socks5Systemz sa predáva za niekoľko cenových úrovní
Len v októbri 2023 zdokumentovali analytici celkovo 10 000 jedinečných pokusov o komunikáciu cez port 1074/TCP s identifikovanými servermi backconnect. Tieto pokusy zodpovedajú rovnakému počtu obetí. Distribúcia týchto obetí je rozšírená a trochu náhodná, pokrývajúca celý svet. Krajiny ako India, Spojené štáty americké, Brazília, Kolumbia, Južná Afrika, Argentína a Nigéria však majú najvyššiu zaznamenanú mieru infekcie.
Prístup k službám proxy Socks5Systemz je dostupný prostredníctvom dvoch úrovní predplatného, známych ako „Štandardné“ a „VIP“. Zákazníci uskutočňujú platby prostredníctvom anonymnej platobnej brány „Cryptomus“.
Aby boli odberatelia zahrnutí do zoznamu povolených robotov, musia špecifikovať IP adresu, z ktorej pochádza prevádzka cez proxy. Štandardní predplatitelia sú obmedzení na jedno vlákno a jeden typ proxy, zatiaľ čo VIP používatelia môžu využívať flexibilitu 100 až 5 000 vlákien a môžu si vybrať z typov proxy SOCKS4, SOCKS5 alebo HTTP.
Rezidenčné proxy botnety predstavujú lukratívny biznis s podstatným vplyvom na internetovú bezpečnosť a neoprávnenú spotrebu šírky pásma. Tieto služby sa bežne využívajú na účely, ako je spustenie nákupných robotov a obchádzanie geografických obmedzení, vďaka čomu sú mimoriadne populárne.