Socks5Systemz Botnet

Ett proxy-botnät känt som "Socks5Systemz" har tyst infiltrerat datorer över hela världen genom " PrivateLoader " och " Amadey " skadlig programvara. För närvarande har den framgångsrikt äventyrat 10 000 enheter. Denna hotfulla programvara tar kontroll över infekterade datorer och omvandlar dem till omedvetna kanaler för olika typer av samvetslös, olaglig eller anonym internettrafik. Botnätet erbjuder denna tjänst till prenumeranter, som kan få tillgång till den för en avgift från $1 till $140 per dag, betald i kryptovaluta.

Cybersäkerhetsexperter har upptäckt att Socks5Systemz proxy-botnät har varit i drift sedan åtminstone 2016, men det har ändå lyckats undvika betydande uppmärksamhet och agerat i skymundan.

Socks5Systemz Botnet etablerar persistens på infekterade system

Socks5Systemz-botnätet sprids genom PrivateLoader och Amadey skadlig kod, som vanligtvis sprids på olika sätt som nätfiske, exploateringssatser, malvertising och trojaniserade körbara filer som laddas ner från peer-to-peer-nätverk.

Forskarna identifierade botnätprover märkta som "previewer.exe", utformade för att infiltrera värdens minne och etablera beständighet genom en Windows-tjänst som heter "ContentDWSvc." Proxybotens nyttolast har formen av en 300 KB 32-bitars DLL. Den använder ett domängenereringsalgoritm (DGA)-system för att ansluta till sin Command-and-Control-server (C2) och överföra profilinformation om den infekterade maskinen.

Som svar kan C2-servern utfärda ett av följande kommandon för exekvering:

• 'tomgång': Ingen åtgärd vidtas.
• 'anslut': Upprätta en anslutning till en backconnect-server.
• 'koppla från': Avbryt anslutningen till servern för återanslutning.
• 'updips': Uppdatera listan över auktoriserade IP-adresser för att skicka trafik.
• 'upduris': Detta kommando är ännu inte implementerat.

Kommandot 'connect' är särskilt viktigt, eftersom det styr boten att skapa en anslutning till en backconnect-server över port 1074/TCP.

När den väl är ansluten till infrastrukturen som kontrolleras av hotaktörer, omvandlas den komprometterade enheten till en proxyserver som kan marknadsföras till andra hotaktörer. När du länkar till backconnect-servern använder den specifika fältparametrar för att fastställa IP-adressen, proxylösenordet och en lista över begränsade portar. Dessa parametrar säkerställer att endast botar på den tillåtna listan med lämpliga inloggningsuppgifter kan interagera med kontrollservrarna, vilket effektivt förhindrar obehöriga försök.

Socks5Systemz Botnet säljs till flera prisnivåer

Bara i oktober 2023 har analytiker dokumenterat totalt 10 000 unika kommunikationsförsök via port 1074/TCP med de identifierade backconnect-servrarna. Dessa försök motsvarar lika många offer. Fördelningen av dessa offer är utbredd och något slumpmässig och sträcker sig över hela världen. Länder som Indien, USA, Brasilien, Colombia, Sydafrika, Argentina och Nigeria har dock de högsta registrerade infektionsfrekvenserna.

Tillgång till Socks5Systemz proxytjänster är tillgänglig via två prenumerationsnivåer, kända som "Standard" och "VIP". Kunder gör betalningar via den anonyma betalningsporten "Cryptomus".

Prenumeranter måste ange IP-adressen från vilken proxytrafiken kommer för att ingå i botens godkännandelista. Standardprenumeranter är begränsade till en enda tråd och en proxytyp, medan VIP-användare har flexibiliteten att använda 100 till 5000 trådar och kan välja mellan SOCKS4, SOCKS5 eller HTTP proxytyper.

Proxy-botnät för bostäder representerar en lukrativ verksamhet med en betydande inverkan på Internetsäkerheten och den obehöriga konsumtionen av bandbredd. Dessa tjänster används vanligtvis för ändamål som att köra shoppingbots och kringgå geo-restriktioner, vilket gör dem exceptionellt populära.