Socks5Systemz Botnet inficerede tusindvis af enheder

Forskere fra BitSight har afsløret et proxy-botnet kendt som Socks5Systemz, som blev leveret via PrivateLoader- og Amadey-indlæserne. Navnet Socks5Systemz er afledt af det konsekvente login-panel, der findes på alle C2-servere. Dette proxy-botnet har været aktivt siden mindst 2016, men er stort set gået ubemærket hen.

Ondsindede aktører leverer trafik-videresendelsesfuldmagter til ulovlige formål til kunder, og opkræver priser fra $1 til $140 pr. dag i kryptovaluta.

Undersøgelse af netværkstelemetridata viser, at dette botnet har inficeret cirka 10.000 systemer, uden at der er fundet inficerede systemer i Rusland.

Alle prøverne undersøgt af eksperter distribueres af PrivateLoader og Amadey og udfører en fil med navnet "previewer.exe", som etablerer persistens og injicerer proxy-bot i hukommelsen. Indlæseren bevarer persistens ved at oprette en Windows-tjeneste med navnet og visningsnavnet indstillet til "ContentDWSvc."

For at undgå registrering og styrke botnettets modstand mod fjernelse, bruger proxy-botten en domænegenereringsalgoritme (DGA).

Socks5Systemz leveres med kommunikationskommandoer

Den mest kritiske kommando er kommandoen "connect", som instruerer botten om at etablere en session med en backconnect-server på port 1074/TCP. Denne registrering med backconnect-infrastrukturen gør det muligt for botten at blive en del af den tilgængelige pulje af proxyer, der bruges til at transmittere trafik på vegne af klienter.

Efter at have parset "connect"-kommandofelterne, starter malwaren en session med backconnect-serveren via port 1074/TCP ved hjælp af en brugerdefineret binær protokol. Når først sessionen er etableret, kan botten fungere som en proxy.

Ved etablering af en session med en backconnect-server på port 1074/TCP, tildeles botten en unik TCP-port (benævnt serverporten) på serversiden, der åbnes for at modtage trafik fra klienter. Klienter skal kende backconnect-serverens IP-adresse, TCP-porten, der er tildelt det inficerede system, og enten have deres offentlige IP-hvidliste eller have de korrekte loginoplysninger for at bruge proxyen. Uden disse oplysninger vil serveren ikke acceptere trafikken.

Forskerne har identificeret mindst 53 servere, der bruges af dette botnet, alle placeret i Europa og spredt ud over Frankrig, Bulgarien, Holland og Sverige.

De 10 mest berørte lande omfatter Indien, Brasilien, Colombia, Sydafrika, Bangladesh, Argentina, Angola, USA, Surinam og Nigeria.

De trusselsaktører, der er ansvarlige for Socks5Systemz-botnettet, tilbyder to abonnementsplaner: 'Standard' og 'VIP'. Kunder kan bruge Cryptomus Crypto Payment Gateway på cryptomus.com.