Socks5Systemz Botnet

Një botnet proxy i njohur si 'Socks5Systemz' ka infiltruar në heshtje kompjuterët në mbarë botën përmes ngarkuesve malware ' PrivateLoader ' dhe ' Amadey '. Aktualisht, ajo ka komprometuar me sukses 10,000 pajisje. Ky softuer kërcënues kap kontrollin e kompjuterëve të infektuar, duke i transformuar ata në kanale të padashur për lloje të ndryshme të trafikut të paskrupullt, të paligjshëm ose anonim të internetit. Botnet-i ua ofron këtë shërbim abonentëve, të cilët mund ta përdorin atë për një tarifë që varion nga 1 deri në 140 dollarë në ditë, e paguar në kriptomonedhë.

Ekspertët e sigurisë kibernetike kanë zbuluar se botnet-i proxy Socks5Systemz ka qenë në funksion që të paktën nga viti 2016, megjithatë ai ka arritur të shmangë vëmendjen e konsiderueshme, duke operuar në hije.

Botneti Socks5Systemz vendos qëndrueshmëri në sistemet e infektuara

Botnet-i Socks5Systemz shpërndahet përmes softuerit PrivateLoader dhe Amadey, të përhapur zakonisht nëpërmjet mjeteve të ndryshme si phishing, komplet shfrytëzimi, keqverizim dhe ekzekutues të trojanizuar të shkarkuar nga rrjetet peer-to-peer.

Studiuesit identifikuan mostra botnet të etiketuara si 'previewer.exe', të krijuara për të depërtuar në kujtesën e hostit dhe për të vendosur qëndrueshmërinë përmes një shërbimi Windows të quajtur 'ContentDWSvc'. Ngarkesa e botit proxy merr formën e një DLL 32-bit 300 KB. Ai përdor një sistem algoritmi të gjenerimit të domenit (DGA) për t'u lidhur me serverin e tij Command-and-Control (C2) dhe për të transmetuar informacionin e profilizimit në lidhje me makinën e infektuar.

Si përgjigje, serveri C2 mund të lëshojë një nga komandat e mëposhtme për ekzekutim:

• 'boshe': Nuk është ndërmarrë asnjë veprim.
• 'lidh': Krijoni një lidhje me një server të lidhjes prapa.
• 'Shkyçja': Ndërpreni lidhjen me serverin e lidhjes së pasme.
• 'updips': Përditësoni listën e adresave IP të autorizuara për dërgimin e trafikut.
• 'upduris': Kjo komandë nuk është zbatuar ende.

Komanda 'lidh' është veçanërisht e rëndësishme, pasi e drejton bot-in të krijojë një lidhje me një server backconnect mbi portin 1074/TCP.

Pasi të lidhet me infrastrukturën e kontrolluar nga aktorët e kërcënimit, pajisja e komprometuar transformohet në një server proxy që mund t'u tregtohet aktorëve të tjerë të kërcënimit. Kur lidhet me serverin e lidhjes së pasme, ai përdor parametra specifikë të fushës për të përcaktuar adresën IP, fjalëkalimin e përfaqësuesit dhe një listë portash të kufizuara. Këto parametra sigurojnë që vetëm robotët në listën e lejuar me kredencialet e duhura të hyrjes mund të ndërveprojnë me serverët e kontrollit, duke penguar në mënyrë efektive përpjekjet e paautorizuara.

Botneti Socks5Systemz shitet me disa nivele çmimesh

Vetëm në tetor 2023, analistët kanë dokumentuar gjithsej 10,000 përpjekje unike komunikimi nëpërmjet portit 1074/TCP me serverët e identifikuar të lidhjes së pasme. Këto tentativa korrespondojnë me një numër të barabartë viktimash. Shpërndarja e këtyre viktimave është e përhapur dhe disi e rastësishme, duke u shtrirë në të gjithë globin. Megjithatë, vendet si India, Shtetet e Bashkuara, Brazili, Kolumbia, Afrika e Jugut, Argjentina dhe Nigeria kanë shkallën më të lartë të regjistruar të infeksionit.

Qasja në shërbimet proxy Socks5Systemz ofrohet përmes dy niveleve të abonimit, të njohura si 'Standard' dhe 'VIP'. Klientët kryejnë pagesa përmes portës anonime të pagesave 'Cryptomus'.

Abonentëve u kërkohet të specifikojnë adresën IP nga e cila buron trafiku proksi, në mënyrë që të përfshihen në listën e lejeve të robotit. Abonentët standardë janë të kufizuar në një lidhje të vetme dhe një lloj përfaqësuesi, ndërsa përdoruesit VIP gëzojnë fleksibilitetin e përdorimit të 100 deri në 5000 temave dhe mund të zgjedhin nga llojet e përfaqësuesve SOCKS4, SOCKS5 ose HTTP.

Botnet-et proxy rezidenciale përfaqësojnë një biznes fitimprurës me një ndikim thelbësor në sigurinë e internetit dhe konsumin e paautorizuar të gjerësisë së brezit. Këto shërbime zakonisht përdoren për qëllime të tilla si drejtimi i boteve të blerjeve dhe anashkalimi i gjeo-kufizimeve, duke i bërë ato jashtëzakonisht të njohura.