Socks5Systemz Botnet

Прокси ботнет познат као 'Соцкс5Системз' тихо се инфилтрира у рачунаре широм света преко ' ПриватеЛоадер ' и ' Амадеи ' учитавача малвера. Тренутно је успешно компромитовао 10.000 уређаја. Овај претећи софтвер преузима контролу над зараженим рачунарима, претварајући их у ненамерне канале за различите врсте бескрупулозног, недозвољеног или анонимног интернет саобраћаја. Ботнет нуди ову услугу претплатницима, који јој могу приступити уз накнаду у распону од 1 до 140 долара дневно, плаћену у криптовалути.

Стручњаци за сајбер безбедност открили су да је прокси ботнет Соцкс5Системз у функцији најмање 2016. године, али је успео да избегне значајну пажњу, делујући у сенци.

Ботнет Соцкс5Системз успоставља постојаност на зараженим системима

Соцкс5Системз ботнет се шири преко ПриватеЛоадер-а и Амадеи малвера, који се обично пропагира различитим средствима као што су пхисхинг, екплоит сетови, малвертисинг и тројанизовани извршни фајлови преузети са пеер-то-пеер мрежа.

Истраживачи су идентификовали узорке ботнета означене као „превиевер.еке“, дизајниране да инфилтрирају меморију хоста и успоставе постојаност преко Виндовс сервиса под називом „ЦонтентДВСвц“. Корисно оптерећење прокси бота има облик 32-битне ДЛЛ датотеке од 300 КБ. Користи систем алгоритма генерисања домена (ДГА) за повезивање са својим сервером за команду и контролу (Ц2) и преноси информације о профилисању заражене машине.

Као одговор, Ц2 сервер може да изда једну од следећих команди за извршење:

• • 'идле': Ништа се не предузима.

• • 'цоннецт': Успоставите везу са сервером за повратну везу.

• • 'дисцоннецт': Прекините везу са сервером за повратну везу.

• • 'упдипс': Ажурирајте листу овлашћених ИП адреса за слање саобраћаја.

• • 'упдурис': Ова команда још увек није имплементирана.

Команда 'цоннецт' је посебно значајна, јер усмерава бота да створи везу са сервером за бацкцоннецт преко порта 1074/ТЦП.

Када се једном повеже са инфраструктуром коју контролишу актери претњи, компромитовани уређај се трансформише у прокси сервер који се може пласирати другим актерима претњи. Када се повезује са сервером за повратну везу, он користи специфичне параметре поља да би утврдио ИП адресу, лозинку за прокси сервер и листу ограничених портова. Ови параметри обезбеђују да само ботови на листи дозвољених са одговарајућим акредитивима за пријаву могу да комуницирају са контролним серверима, ефикасно спречавајући неовлашћене покушаје.

Ботнет Соцкс5Системз се продаје по неколико нивоа цена

Само у октобру 2023. аналитичари су документовали укупно 10.000 јединствених покушаја комуникације преко порта 1074/ТЦП са идентификованим серверима за повратно повезивање. Ови покушаји одговарају једнаком броју жртава. Дистрибуција ових жртава је широко распрострањена и донекле насумична, обухватајући читав свет. Међутим, земље као што су Индија, Сједињене Државе, Бразил, Колумбија, Јужна Африка, Аргентина и Нигерија имају највише забележене стопе инфекције.

Приступ прокси услугама Соцкс5Системз доступан је преко два нивоа претплате, познатих као „Стандард“ и „ВИП“. Купци врше плаћања преко анонимног пролаза за плаћање „Цриптомус“.

Претплатници морају да наведу ИП адресу са које потиче прокси саобраћај да би били укључени у листу дозвољених бота. Стандардни претплатници су ограничени на једну нит и један тип проксија, док ВИП корисници уживају у флексибилности коришћења од 100 до 5000 нити и могу да бирају између типова СОЦКС4, СОЦКС5 или ХТТП проксија.

Резиденцијални прокси ботнети представљају уносан посао са значајним утицајем на интернет безбедност и неовлашћену потрошњу пропусног опсега. Ове услуге се обично користе у сврхе као што су покретање ботова за куповину и заобилажење гео-ограничења, што их чини изузетно популарним.