Το Socks5Systemz Botnet μόλυνε χιλιάδες συσκευές

Ερευνητές από το BitSight αποκάλυψαν ένα proxy botnet γνωστό ως Socks5Systemz, το οποίο παραδόθηκε μέσω των φορτωτών PrivateLoader και Amadey. Το όνομα Socks5Systemz προέρχεται από τον συνεπή πίνακα σύνδεσης που βρίσκεται σε όλους τους διακομιστές C2. Αυτό το botnet μεσολάβησης ήταν ενεργό τουλάχιστον από το 2016, αλλά σε μεγάλο βαθμό έχει περάσει απαρατήρητο.

Κακόβουλοι παράγοντες παρέχουν πληρεξούσιους προώθησης κίνησης για παράνομους σκοπούς σε πελάτες, χρεώνοντας τιμές που κυμαίνονται από 1 έως 140 δολάρια την ημέρα σε κρυπτονομίσματα.

Η εξέταση των δεδομένων τηλεμετρίας δικτύου δείχνει ότι αυτό το botnet έχει μολύνει περίπου 10.000 συστήματα, χωρίς να έχει βρεθεί κανένα μολυσμένο σύστημα στη Ρωσία.

Όλα τα δείγματα που ελέγχονται από ειδικούς διανέμονται από την PrivateLoader και την Amadey και εκτελούν ένα αρχείο με το όνομα "previewer.exe", το οποίο καθορίζει την επιμονή και εισάγει το bot μεσολάβησης στη μνήμη. Το πρόγραμμα φόρτωσης διατηρεί την επιμονή δημιουργώντας μια υπηρεσία Windows με το όνομα και το εμφανιζόμενο όνομα σε "ContentDWSvc".

Για να αποφύγει τον εντοπισμό και να ενισχύσει την αντίσταση του botnet στην κατάργηση, το bot διακομιστή μεσολάβησης χρησιμοποιεί έναν αλγόριθμο δημιουργίας τομέα (DGA).

Το Socks5Systemz συνοδεύεται από εντολές επικοινωνίας

Η πιο κρίσιμη εντολή είναι η εντολή "connect", η οποία δίνει εντολή στο bot να δημιουργήσει μια περίοδο λειτουργίας με έναν διακομιστή backconnect στη θύρα 1074/TCP. Αυτή η εγγραφή στην υποδομή backconnect επιτρέπει στο bot να γίνει μέρος της διαθέσιμης ομάδας διακομιστών μεσολάβησης που χρησιμοποιούνται για τη μετάδοση κίνησης για λογαριασμό πελατών.

Μετά την ανάλυση των πεδίων εντολών "σύνδεση", το κακόβουλο λογισμικό ξεκινά μια περίοδο λειτουργίας με τον διακομιστή backconnect μέσω της θύρας 1074/TCP, χρησιμοποιώντας ένα προσαρμοσμένο δυαδικό πρωτόκολλο. Μόλις δημιουργηθεί η περίοδος λειτουργίας, το bot μπορεί να λειτουργήσει ως διακομιστής μεσολάβησης.

Κατά τη δημιουργία μιας συνεδρίας με έναν διακομιστή backconnect στη θύρα 1074/TCP, εκχωρείται στο bot μια μοναδική θύρα TCP (αναφέρεται ως θύρα διακομιστή) στην πλευρά του διακομιστή, η οποία ανοίγει για να λαμβάνει κίνηση από πελάτες. Οι πελάτες πρέπει να γνωρίζουν τη διεύθυνση IP του διακομιστή backconnect, τη θύρα TCP που έχει εκχωρηθεί στο μολυσμένο σύστημα και είτε να έχουν τη δημόσια IP τους στη λίστα επιτρεπόμενων είτε να διαθέτουν τα σωστά διαπιστευτήρια σύνδεσης για τη χρήση του διακομιστή μεσολάβησης. Χωρίς αυτές τις πληροφορίες, ο διακομιστής δεν θα δεχτεί την κίνηση.

Οι ερευνητές εντόπισαν τουλάχιστον 53 διακομιστές που χρησιμοποιούνται από αυτό το botnet, όλοι βρίσκονται στην Ευρώπη και εξαπλώνονται στη Γαλλία, τη Βουλγαρία, την Ολλανδία και τη Σουηδία.

Οι 10 πιο πληγείσες χώρες περιλαμβάνουν την Ινδία, τη Βραζιλία, την Κολομβία, τη Νότια Αφρική, το Μπαγκλαντές, την Αργεντινή, την Αγκόλα, τις Ηνωμένες Πολιτείες, το Σουρινάμ και τη Νιγηρία.

Οι φορείς απειλών που είναι υπεύθυνοι για το botnet Socks5Systemz προσφέρουν δύο προγράμματα συνδρομής: "Standard" και "VIP". Οι πελάτες μπορούν να χρησιμοποιήσουν την πύλη πληρωμής Cryptomus Crypto στο cryptomus.com.