Le botnet Socks5Systemz a infecté des milliers d’appareils
Les chercheurs de BitSight ont dévoilé un botnet proxy connu sous le nom de Socks5Systemz, qui a été fourni via les chargeurs PrivateLoader et Amadey. Le nom Socks5Systemz est dérivé du panneau de connexion cohérent trouvé sur tous les serveurs C2. Ce botnet proxy est actif depuis au moins 2016 mais est passé largement inaperçu.
Des acteurs malveillants fournissent aux clients des proxys de transfert de trafic à des fins illicites, facturant des prix allant de 1 $ à 140 $ par jour en crypto-monnaie.
L'examen des données de télémétrie du réseau indique que ce botnet a infecté environ 10 000 systèmes, aucun système infecté n'ayant été trouvé en Russie.
Tous les échantillons examinés par les experts sont distribués par PrivateLoader et Amadey et exécutent un fichier nommé "previewer.exe", qui établit la persistance et injecte le robot proxy en mémoire. Le chargeur maintient la persistance en créant un service Windows dont le nom et le nom d'affichage sont définis sur « ContentDWSvc ».
Pour échapper à la détection et renforcer la résistance du botnet au retrait, le robot proxy utilise un algorithme de génération de domaine (DGA).
Socks5Systemz est livré avec des commandes de communication
La commande la plus critique est la commande « connect », qui demande au robot d'établir une session avec un serveur de backconnect sur le port 1074/TCP. Cet enregistrement auprès de l'infrastructure backconnect permet au bot de faire partie du pool disponible de proxys utilisés pour transmettre le trafic au nom des clients.
Après avoir analysé les champs de commande « connect », le malware initie une session avec le serveur de backconnect via le port 1074/TCP, en utilisant un protocole binaire personnalisé. Une fois la session établie, le bot peut fonctionner comme proxy.
Lors de l'établissement d'une session avec un serveur de backconnect sur le port 1074/TCP, le bot se voit attribuer un port TCP unique (appelé port serveur) côté serveur, ouvert pour recevoir le trafic des clients. Les clients doivent connaître l'adresse IP du serveur de backconnect, le port TCP attribué au système infecté, et soit avoir leur adresse IP publique sur liste blanche, soit posséder les informations de connexion correctes pour utiliser le proxy. Sans ces informations, le serveur n'acceptera pas le trafic.
Les chercheurs ont identifié au moins 53 serveurs utilisés par ce botnet, tous situés en Europe et répartis en France, en Bulgarie, aux Pays-Bas et en Suède.
Les 10 pays les plus touchés sont l’Inde, le Brésil, la Colombie, l’Afrique du Sud, le Bangladesh, l’Argentine, l’Angola, les États-Unis, le Suriname et le Nigeria.
Les acteurs malveillants responsables du botnet Socks5Systemz proposent deux formules d'abonnement : « Standard » et « VIP ». Les clients peuvent utiliser la passerelle de paiement Cryptomus Crypto sur cryptomus.com.