Socks5Systemz Botnet
'Socks5Systemz' అని పిలువబడే ప్రాక్సీ బాట్నెట్ ' Private Loader ' మరియు ' Amadey ' మాల్వేర్ లోడర్ల ద్వారా ప్రపంచవ్యాప్తంగా కంప్యూటర్లలో నిశ్శబ్దంగా చొరబడుతోంది. ప్రస్తుతం, ఇది 10,000 పరికరాలను విజయవంతంగా రాజీ చేసింది. ఈ బెదిరింపు సాఫ్ట్వేర్ సోకిన కంప్యూటర్ల నియంత్రణను స్వాధీనం చేసుకుంటుంది, వాటిని వివిధ రకాల నిష్కపటమైన, అక్రమమైన లేదా అనామక ఇంటర్నెట్ ట్రాఫిక్కు తెలియకుండానే మార్గాలుగా మారుస్తుంది. బోట్నెట్ ఈ సేవను చందాదారులకు అందిస్తుంది, వారు క్రిప్టోకరెన్సీలో చెల్లించిన రోజుకు $1 నుండి $140 వరకు రుసుముతో దీన్ని యాక్సెస్ చేయవచ్చు.
Socks5Systemz ప్రాక్సీ బోట్నెట్ కనీసం 2016 నుండి పనిచేస్తోందని సైబర్ సెక్యూరిటీ నిపుణులు కనుగొన్నారు, అయినప్పటికీ అది నీడలో పనిచేస్తూ, గణనీయమైన దృష్టిని తప్పించుకోగలిగింది.
Socks5Systemz Botnet సోకిన సిస్టమ్లపై పట్టుదలను ఏర్పరుస్తుంది
Socks5Systemz బోట్నెట్ PrivateLoader మరియు Amadey మాల్వేర్ ద్వారా వ్యాప్తి చెందుతుంది, సాధారణంగా ఫిషింగ్, ఎక్స్ప్లోయిట్ కిట్లు, మాల్వర్టైజింగ్ మరియు పీర్-టు-పీర్ నెట్వర్క్ల నుండి డౌన్లోడ్ చేయబడిన ట్రోజనైజ్డ్ ఎక్జిక్యూటబుల్స్ వంటి వివిధ మార్గాల ద్వారా ప్రచారం చేయబడుతుంది.
పరిశోధకులు 'previewer.exe' అని లేబుల్ చేయబడిన బోట్నెట్ నమూనాలను గుర్తించారు, ఇది హోస్ట్ మెమరీలోకి చొరబడటానికి మరియు 'ContentDWSvc.' అనే Windows సర్వీస్ ద్వారా నిలకడను స్థాపించడానికి రూపొందించబడింది. ప్రాక్సీ బాట్ పేలోడ్ 300 KB 32-బిట్ DLL రూపాన్ని తీసుకుంటుంది. ఇది దాని కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్తో కనెక్ట్ అవ్వడానికి మరియు సోకిన యంత్రం గురించి ప్రొఫైలింగ్ సమాచారాన్ని ప్రసారం చేయడానికి డొమైన్ జనరేషన్ అల్గారిథమ్ (DGA) సిస్టమ్ను ఉపయోగిస్తుంది.
ప్రతిస్పందనగా, C2 సర్వర్ అమలు కోసం కింది ఆదేశాలలో ఒకదాన్ని జారీ చేయగలదు:
-
- 'నిష్క్రియ': ఎటువంటి చర్య తీసుకోలేదు.
-
- 'కనెక్ట్': బ్యాక్కనెక్ట్ సర్వర్కు కనెక్షన్ని ఏర్పాటు చేయండి.
-
- 'డిస్కనెక్ట్': బ్యాక్కనెక్ట్ సర్వర్కు కనెక్షన్ని విడదీయండి.
-
- 'updips': ట్రాఫిక్ని పంపడం కోసం అధీకృత IP చిరునామాల జాబితాను నవీకరించండి.
-
- 'upduris': ఈ ఆదేశం ఇంకా అమలు చేయబడలేదు.
'కనెక్ట్' కమాండ్ చాలా ముఖ్యమైనది, ఎందుకంటే ఇది పోర్ట్ 1074/TCP ద్వారా బ్యాక్కనెక్ట్ సర్వర్కు కనెక్షన్ని సృష్టించడానికి బోట్ను నిర్దేశిస్తుంది.
బెదిరింపు నటులచే నియంత్రించబడే ఇన్ఫ్రాస్ట్రక్చర్కి కనెక్ట్ అయిన తర్వాత, రాజీపడిన పరికరం ప్రాక్సీ సర్వర్గా రూపాంతరం చెందుతుంది, అది ఇతర ప్రమాదకర వ్యక్తులకు విక్రయించబడుతుంది. బ్యాక్కనెక్ట్ సర్వర్కు లింక్ చేస్తున్నప్పుడు, ఇది IP చిరునామా, ప్రాక్సీ పాస్వర్డ్ మరియు నిరోధిత పోర్ట్ల జాబితాను నిర్ధారించడానికి నిర్దిష్ట ఫీల్డ్ పారామితులను ఉపయోగిస్తుంది. ఈ పారామితులు అనుమతించబడిన జాబితాలోని తగిన లాగిన్ ఆధారాలతో ఉన్న బాట్లు మాత్రమే నియంత్రణ సర్వర్లతో పరస్పర చర్య చేయగలవని నిర్ధారిస్తాయి, అనధికార ప్రయత్నాలను సమర్థవంతంగా అడ్డుకుంటాయి.
Socks5Systemz Botnet అనేక ధరల స్థాయిలలో విక్రయించబడింది
అక్టోబర్ 2023లో, గుర్తించబడిన బ్యాక్కనెక్ట్ సర్వర్లతో పోర్ట్ 1074/TCP ద్వారా మొత్తం 10,000 ప్రత్యేక కమ్యూనికేషన్ ప్రయత్నాలను విశ్లేషకులు డాక్యుమెంట్ చేసారు. ఈ ప్రయత్నాలు సమాన సంఖ్యలో బాధితులకు అనుగుణంగా ఉంటాయి. ఈ బాధితుల పంపిణీ విస్తృతంగా మరియు కొంతవరకు యాదృచ్ఛికంగా, మొత్తం ప్రపంచవ్యాప్తంగా విస్తరించి ఉంది. అయినప్పటికీ, భారతదేశం, యునైటెడ్ స్టేట్స్, బ్రెజిల్, కొలంబియా, దక్షిణాఫ్రికా, అర్జెంటీనా మరియు నైజీరియా వంటి దేశాలు అత్యధికంగా ఇన్ఫెక్షన్ రేటును కలిగి ఉన్నాయి.
Socks5Systemz ప్రాక్సీ సేవలకు యాక్సెస్ 'స్టాండర్డ్' మరియు 'విఐపి' అని పిలువబడే రెండు సబ్స్క్రిప్షన్ టైర్ల ద్వారా అందుబాటులో ఉంటుంది. కస్టమర్లు అనామక చెల్లింపు గేట్వే 'క్రిప్టోమస్.' ద్వారా చెల్లింపులు చేస్తారు.
సబ్స్క్రైబర్లు బాట్ యొక్క అనుమతి జాబితాలో చేర్చడానికి ప్రాక్సీడ్ ట్రాఫిక్ ఏ IP చిరునామా నుండి ఉద్భవించాలో పేర్కొనాలి. ప్రామాణిక చందాదారులు ఒకే థ్రెడ్ మరియు ఒక ప్రాక్సీ రకానికి పరిమితం చేయబడ్డారు, అయితే VIP వినియోగదారులు 100 నుండి 5000 థ్రెడ్లను ఉపయోగించే సౌలభ్యాన్ని ఆనందిస్తారు మరియు SOCKS4, SOCKS5 లేదా HTTP ప్రాక్సీ రకాల నుండి ఎంచుకోవచ్చు.
రెసిడెన్షియల్ ప్రాక్సీ బోట్నెట్లు ఇంటర్నెట్ భద్రత మరియు బ్యాండ్విడ్త్ యొక్క అనధికారిక వినియోగంపై గణనీయమైన ప్రభావంతో లాభదాయకమైన వ్యాపారాన్ని సూచిస్తాయి. ఈ సేవలు సాధారణంగా షాపింగ్ బాట్లను అమలు చేయడం మరియు భౌగోళిక పరిమితులను అధిగమించడం వంటి ప్రయోజనాల కోసం ఉపయోగించబడతాయి, ఇవి అనూహ్యంగా ప్రజాదరణ పొందాయి.