Mga Multi-Lisensya na Diskwento
Threat Database Botnets Socks5Systemz Botnet

Socks5Systemz Botnet

Sa pamamagitan ng Mezo sa Botnets
Isalin To:
Wikang Filipino

Ang isang proxy botnet na kilala bilang 'Socks5Systemz' ay tahimik na pumapasok sa mga computer sa buong mundo sa pamamagitan ng ' PrivateLoader ' at ' Amadey ' malware loaders. Sa kasalukuyan, matagumpay nitong nakompromiso ang 10,000 device. Kinukuha ng nagbabantang software na ito ang kontrol ng mga nahawaang computer, na ginagawang hindi sinasadyang mga tubo para sa iba't ibang uri ng walang prinsipyo, ipinagbabawal, o hindi kilalang trapiko sa Internet. Ang botnet ay nag-aalok ng serbisyong ito sa mga subscriber, na maaaring ma-access ito para sa isang bayad mula $1 hanggang $140 bawat araw, binabayaran sa cryptocurrency.

Natuklasan ng mga dalubhasa sa cybersecurity na ang Socks5Systemz proxy botnet ay gumagana na simula noong 2016 man lang, ngunit nagawa nitong makaiwas sa makabuluhang atensyon, na tumatakbo sa mga anino.

Ang Socks5Systemz Botnet ay Nagtatatag ng Pagtitiyaga sa mga Infected System

Ang Socks5Systemz botnet ay ipinakalat sa pamamagitan ng PrivateLoader at ang Amadey malware, na karaniwang pinapalaganap sa pamamagitan ng iba't ibang paraan tulad ng phishing, exploit kit, malvertising, at trojanized na mga executable na na-download mula sa mga peer-to-peer network.

Tinukoy ng mga mananaliksik ang mga sample ng botnet na may label na 'previewer.exe,' na idinisenyo upang makapasok sa memorya ng host at magtatag ng pagtitiyaga sa pamamagitan ng serbisyo ng Windows na pinangalanang 'ContentDWSvc.' Ang proxy bot payload ay nasa anyo ng isang 300 KB 32-bit DLL. Gumagamit ito ng isang domain generation algorithm (DGA) system upang kumonekta sa kanyang Command-and-Control (C2) server at magpadala ng impormasyon sa pag-profile tungkol sa infected na makina.

Bilang tugon, maaaring mag-isyu ang C2 server ng isa sa mga sumusunod na command para sa pagpapatupad:

  • 'idle': Walang ginawang aksyon.
  • 'connect': Magtatag ng koneksyon sa isang backconnect server.
  • 'disconnect': Putulin ang koneksyon sa backconnect server.
  • 'updips': I-update ang listahan ng mga awtorisadong IP address para sa pagpapadala ng trapiko.
  • 'upduris': Ang utos na ito ay hindi pa ipinapatupad.

Ang command na 'connect' ay partikular na makabuluhan, dahil idinidirekta nito ang bot na gumawa ng koneksyon sa isang backconnect server sa port 1074/TCP.

Kapag nakakonekta na sa imprastraktura na kinokontrol ng mga aktor ng pagbabanta, ang nakompromisong device ay gagawing proxy server na maaaring i-market sa iba pang mga banta na aktor. Kapag nagli-link sa backconnect server, gumagamit ito ng mga partikular na parameter ng field upang matiyak ang IP address, proxy password, at isang listahan ng mga pinaghihigpitang port. Tinitiyak ng mga parameter na ito na ang mga bot lamang sa pinapayagang listahan na may naaangkop na mga kredensyal sa pag-log in ang maaaring makipag-ugnayan sa mga control server, na epektibong humahadlang sa mga hindi awtorisadong pagtatangka.

Ang Socks5Systemz Botnet ay Ibinebenta sa Ilang Tier ng Presyo

Noong Oktubre 2023 pa lang, nakapagdokumento na ang mga analyst ng kabuuang 10,000 natatanging pagtatangka sa komunikasyon sa pamamagitan ng port 1074/TCP kasama ang mga natukoy na backconnect server. Ang mga pagtatangka na ito ay tumutugma sa isang pantay na bilang ng mga biktima. Ang pamamahagi ng mga biktimang ito ay laganap at medyo random, na sumasaklaw sa buong mundo. Gayunpaman, ang mga bansa tulad ng India, United States, Brazil, Colombia, South Africa, Argentina at Nigeria ang may pinakamataas na naitala na rate ng impeksyon.

Ang access sa mga serbisyo ng proxy ng Socks5Systemz ay magagamit sa pamamagitan ng dalawang tier ng subscription, na kilala bilang 'Standard' at 'VIP.' Ang mga customer ay nagbabayad sa pamamagitan ng anonymous na gateway ng pagbabayad na 'Cryptomus.'

Kinakailangan ng mga subscriber na tukuyin ang IP address kung saan nagmula ang proxied na trapiko upang maisama sa allowlist ng bot. Ang mga karaniwang subscriber ay limitado sa isang thread at isang uri ng proxy, habang ang mga VIP user ay nag-e-enjoy sa flexibility ng paggamit ng 100 hanggang 5000 thread at maaaring pumili mula sa SOCKS4, SOCKS5, o HTTP na mga uri ng proxy.

Ang mga residential proxy botnet ay kumakatawan sa isang kumikitang negosyo na may malaking epekto sa seguridad ng Internet at ang hindi awtorisadong pagkonsumo ng bandwidth. Ang mga serbisyong ito ay karaniwang ginagamit para sa mga layunin tulad ng pagpapatakbo ng mga bot sa pamimili at pag-iwas sa mga geo-restrictions, na ginagawa itong pambihirang sikat.

Trending

Pinaka Nanood

Naglo-load...