Ботнет Socks5Systemz

Проксі-ботнет, відомий як «Socks5Systemz», тихо проникав на комп’ютери по всьому світу через завантажувачі шкідливих програм « PrivateLoader » і « Amadey ». На даний момент він успішно скомпрометував 10 000 пристроїв. Це загрозливе програмне забезпечення захоплює контроль над зараженими комп’ютерами, перетворюючи їх на мимовільні канали для різних типів недобросовісного, незаконного чи анонімного Інтернет-трафіку. Ботнет пропонує цю послугу передплатникам, які можуть отримати до неї доступ за плату від 1 до 140 доларів США на день, сплачену в криптовалюті.

Експерти з кібербезпеки виявили, що проксі-ботнет Socks5Systemz працює щонайменше з 2016 року, але йому вдалося уникнути значної уваги, працюючи в тіні.

Ботнет Socks5Systemz забезпечує стійкість заражених систем

Ботнет Socks5Systemz поширюється через PrivateLoader і зловмисне програмне забезпечення Amadey, яке зазвичай поширюється за допомогою різних засобів, таких як фішинг, набори експлойтів, шкідлива реклама та троянізовані виконувані файли, завантажені з однорангових мереж.

Дослідники ідентифікували зразки ботнетів, помічені як «previewer.exe», призначені для проникнення в пам’ять хоста та встановлення стійкості через службу Windows під назвою «ContentDWSvc». Корисне навантаження проксі-бота має форму 32-бітної DLL розміром 300 КБ. Він використовує систему алгоритму генерації домену (DGA) для з’єднання зі своїм сервером командування та управління (C2) і передачі інформації профілювання про заражену машину.

У відповідь сервер C2 може видати одну з наступних команд для виконання:

• • 'idle': жодних дій не виконується.

• • 'connect': Встановіть підключення до сервера зворотного підключення.

• • 'disconnect': розірвати з'єднання з сервером зворотного підключення.

• • 'updips': оновити список авторизованих IP-адрес для надсилання трафіку.

• • 'upduris': ця команда ще не реалізована.

Команда «connect» є особливо важливою, оскільки вона вказує боту створити підключення до сервера зворотного підключення через порт 1074/TCP.

Після підключення до інфраструктури, контрольованої загрозливими суб’єктами, скомпрометований пристрій перетворюється на проксі-сервер, який можна продавати іншим загрозливим суб’єктам. Під час підключення до сервера зворотного підключення він використовує певні параметри поля для визначення IP-адреси, пароля проксі-сервера та списку обмежених портів. Ці параметри гарантують, що тільки боти з дозволеного списку з відповідними обліковими даними для входу можуть взаємодіяти з контрольними серверами, ефективно перешкоджаючи несанкціонованим спробам.

Ботнет Socks5Systemz продається за кількома ціновими рівнями

Лише в жовтні 2023 року аналітики задокументували загалом 10 000 унікальних спроб зв’язку через порт 1074/TCP із ідентифікованими серверами зворотного підключення. Ці спроби відповідають однаковій кількості жертв. Розподіл цих жертв широко поширений і дещо випадковий, охоплюючи всю земну кулю. Однак такі країни, як Індія, США, Бразилія, Колумбія, Південна Африка, Аргентина та Нігерія, мають найвищий зареєстрований рівень зараження.

Доступ до проксі-сервісів Socks5Systemz доступний через два рівні підписки, відомі як «Стандартний» і «VIP». Клієнти здійснюють платежі через анонімний платіжний шлюз Cryptomus.

Передплатники повинні вказати IP-адресу, з якої надходить проксі-трафік, щоб бути включеними в білий список бота. Стандартні передплатники обмежені одним потоком і одним типом проксі, а VIP-користувачі користуються гнучкістю використання від 100 до 5000 потоків і можуть вибирати типи проксі SOCKS4, SOCKS5 або HTTP.

Домашні проксі-ботнети представляють собою прибутковий бізнес із значним впливом на безпеку Інтернету та несанкціоноване використання пропускної здатності. Ці служби зазвичай використовуються для таких цілей, як запуск торгових ботів і обхід геообмежень, що робить їх надзвичайно популярними.