Le botnet Socks5Systemz a infecté des milliers d’appareils

botnet

Les chercheurs de BitSight ont dévoilé un botnet proxy connu sous le nom de Socks5Systemz, qui a été fourni via les chargeurs PrivateLoader et Amadey. Le nom Socks5Systemz est dérivé du panneau de connexion cohérent trouvé sur tous les serveurs C2. Ce botnet proxy est actif depuis au moins 2016 mais est passé largement inaperçu.

Des acteurs malveillants fournissent aux clients des proxys de transfert de trafic à des fins illicites, facturant des prix allant de 1 $ à 140 $ par jour en crypto-monnaie.

L'examen des données de télémétrie du réseau indique que ce botnet a infecté environ 10 000 systèmes, aucun système infecté n'ayant été trouvé en Russie.

Tous les échantillons examinés par les experts sont distribués par PrivateLoader et Amadey et exécutent un fichier nommé "previewer.exe", qui établit la persistance et injecte le robot proxy en mémoire. Le chargeur maintient la persistance en créant un service Windows dont le nom et le nom d'affichage sont définis sur « ContentDWSvc ».

Pour échapper à la détection et renforcer la résistance du botnet au retrait, le robot proxy utilise un algorithme de génération de domaine (DGA).

Socks5Systemz est livré avec des commandes de communication

La commande la plus critique est la commande « connect », qui demande au robot d'établir une session avec un serveur de backconnect sur le port 1074/TCP. Cet enregistrement auprès de l'infrastructure backconnect permet au bot de faire partie du pool disponible de proxys utilisés pour transmettre le trafic au nom des clients.

Après avoir analysé les champs de commande « connect », le malware initie une session avec le serveur de backconnect via le port 1074/TCP, en utilisant un protocole binaire personnalisé. Une fois la session établie, le bot peut fonctionner comme proxy.

Lors de l'établissement d'une session avec un serveur de backconnect sur le port 1074/TCP, le bot se voit attribuer un port TCP unique (appelé port serveur) côté serveur, ouvert pour recevoir le trafic des clients. Les clients doivent connaître l'adresse IP du serveur de backconnect, le port TCP attribué au système infecté, et soit avoir leur adresse IP publique sur liste blanche, soit posséder les informations de connexion correctes pour utiliser le proxy. Sans ces informations, le serveur n'acceptera pas le trafic.

Les chercheurs ont identifié au moins 53 serveurs utilisés par ce botnet, tous situés en Europe et répartis en France, en Bulgarie, aux Pays-Bas et en Suède.

Les 10 pays les plus touchés sont l’Inde, le Brésil, la Colombie, l’Afrique du Sud, le Bangladesh, l’Argentine, l’Angola, les États-Unis, le Suriname et le Nigeria.

Les acteurs malveillants responsables du botnet Socks5Systemz proposent deux formules d'abonnement : « Standard » et « VIP ». Les clients peuvent utiliser la passerelle de paiement Cryptomus Crypto sur cryptomus.com.

Par Zaib
November 6, 2023
Malware
Français
November 6, 2023
Malware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.