La botnet Calze5Systemz ha infettato migliaia di dispositivi

I ricercatori di BitSight hanno svelato una botnet proxy nota come Calze5Systemz, che è stata distribuita tramite i caricatori PrivateLoader e Amadey. Il nome Calze5Systemz deriva dal pannello di accesso coerente trovato su tutti i server C2. Questa botnet proxy è attiva almeno dal 2016, ma è passata in gran parte inosservata.

Gli attori malintenzionati forniscono ai clienti proxy di inoltro del traffico per scopi illeciti, addebitando prezzi che vanno da $ 1 a $ 140 al giorno in criptovaluta.

L'esame dei dati di telemetria della rete indica che questa botnet ha infettato circa 10.000 sistemi, senza che sia stato trovato alcun sistema infetto in Russia.

Tutti i campioni esaminati dagli esperti sono distribuiti da PrivateLoader e Amadey ed eseguono un file denominato "previewer.exe", che stabilisce la persistenza e inserisce il proxy bot in memoria. Il caricatore mantiene la persistenza creando un servizio Windows con il nome e il nome visualizzato impostati su "ContentDWSvc".

Per eludere il rilevamento e rafforzare la resistenza della botnet alla rimozione, il bot proxy utilizza un algoritmo di generazione di domini (DGA).

Calze5Systemz viene fornito in bundle con comandi di comunicazione

Il comando più critico è il comando "connect", che indica al bot di stabilire una sessione con un server backconnect sulla porta 1074/TCP. Questa registrazione con l'infrastruttura di backconnect consente al bot di diventare parte del pool di proxy disponibile utilizzato per trasmettere il traffico per conto dei client.

Dopo aver analizzato i campi del comando "connect", il malware avvia una sessione con il server backconnect tramite la porta 1074/TCP, utilizzando un protocollo binario personalizzato. Una volta stabilita la sessione, il bot può funzionare come proxy.

Dopo aver stabilito una sessione con un server backconnect sulla porta 1074/TCP, al bot viene assegnata una porta TCP univoca (denominata porta del server) sul lato server, aperta per ricevere il traffico dai client. I client devono conoscere l'indirizzo IP del server backconnect, la porta TCP assegnata al sistema infetto e avere il proprio IP pubblico inserito nella whitelist o possedere le credenziali di accesso corrette per utilizzare il proxy. Senza queste informazioni, il server non accetterà il traffico.

I ricercatori hanno identificato almeno 53 server utilizzati da questa botnet, tutti situati in Europa e sparsi in Francia, Bulgaria, Paesi Bassi e Svezia.

I primi 10 paesi più colpiti includono India, Brasile, Colombia, Sud Africa, Bangladesh, Argentina, Angola, Stati Uniti, Suriname e Nigeria.

Gli autori delle minacce responsabili della botnet Calze5Systemz offrono due piani di abbonamento: "Standard" e "VIP". I clienti possono utilizzare il Cryptomus Crypto Payment Gateway su cryptomus.com.