La botnet Socks5Systemz infectó miles de dispositivos

Los investigadores de BitSight han desvelado una botnet proxy conocida como Socks5Systemz, que se entregó a través de los cargadores PrivateLoader y Amadey. El nombre Socks5Systemz se deriva del panel de inicio de sesión consistente que se encuentra en todos los servidores C2. Esta botnet proxy ha estado activa desde al menos 2016, pero ha pasado desapercibida.

Los actores maliciosos están proporcionando servidores proxy de reenvío de tráfico con fines ilícitos a los clientes, cobrando precios que oscilan entre 1 dólar y 140 dólares por día en criptomonedas.

El examen de los datos de telemetría de la red indica que esta botnet ha infectado aproximadamente 10.000 sistemas, y no se han encontrado sistemas infectados en Rusia.

Todas las muestras examinadas por los expertos son distribuidas por PrivateLoader y Amadey y ejecutan un archivo llamado "previewer.exe", que establece la persistencia e inyecta el robot proxy en la memoria. El cargador mantiene la persistencia creando un servicio de Windows con el nombre y el nombre para mostrar configurados en "ContentDWSvc".

Para evadir la detección y reforzar la resistencia de la botnet a la eliminación, el robot proxy utiliza un algoritmo de generación de dominio (DGA).

Socks5Systemz viene con comandos de comunicación

El comando más crítico es el comando "conectar", que indica al bot que establezca una sesión con un servidor de backconnect en el puerto 1074/TCP. Este registro con la infraestructura de backconnect permite que el bot forme parte del grupo disponible de servidores proxy utilizados para transmitir tráfico en nombre de los clientes.

Después de analizar los campos del comando "conectar", el malware inicia una sesión con el servidor de conexión a través del puerto 1074/TCP, utilizando un protocolo binario personalizado. Una vez establecida la sesión, el bot puede funcionar como proxy.

Al establecer una sesión con un servidor de backconnect en el puerto 1074/TCP, al bot se le asigna un puerto TCP único (denominado puerto del servidor) en el lado del servidor, abierto para recibir tráfico de los clientes. Los clientes deben conocer la dirección IP del servidor de backconnect, el puerto TCP asignado al sistema infectado y tener su IP pública en la lista blanca o poseer las credenciales de inicio de sesión correctas para usar el proxy. Sin esta información, el servidor no aceptará el tráfico.

Los investigadores han identificado al menos 53 servidores utilizados por esta botnet, todos situados en Europa y repartidos por Francia, Bulgaria, Países Bajos y Suecia.

Los 10 países más afectados incluyen India, Brasil, Colombia, Sudáfrica, Bangladesh, Argentina, Angola, Estados Unidos, Surinam y Nigeria.

Los actores de amenazas responsables de la botnet Socks5Systemz ofrecen dos planes de suscripción: "Estándar" y "VIP". Los clientes pueden utilizar Cryptomus Crypto Payment Gateway en cryptomus.com.