Socks5Systemz Botnet infiserte tusenvis av enheter

Forskere fra BitSight har avduket et proxy-botnett kjent som Socks5Systemz, som ble levert via PrivateLoader- og Amadey-lasterne. Navnet Socks5Systemz er avledet fra det konsistente påloggingspanelet som finnes på alle C2-serverne. Dette proxy-botnettet har vært aktivt siden minst 2016, men har stort sett gått ubemerket hen.

Ondsinnede aktører gir trafikkvideresendingsfullmakter for ulovlige formål til kunder, og belaster priser som varierer fra $1 til $140 per dag i kryptovaluta.

Undersøkelse av nettverkstelemetridata indikerer at dette botnettet har infisert omtrent 10 000 systemer, uten at noen infiserte systemer er funnet i Russland.

Alle prøvene gransket av eksperter distribueres av PrivateLoader og Amadey og kjører en fil som heter "previewer.exe", som etablerer utholdenhet og injiserer proxy-roboten i minnet. Lasteren opprettholder utholdenhet ved å opprette en Windows-tjeneste med navnet og visningsnavnet satt til "ContentDWSvc."

For å unngå deteksjon og styrke botnettets motstand mot fjerning, bruker proxy-boten en domenegenereringsalgoritme (DGA).

Socks5Systemz leveres med kommunikasjonskommandoer

Den mest kritiske kommandoen er "connect"-kommandoen, som instruerer boten til å etablere en økt med en tilbakekoblingsserver på port 1074/TCP. Denne registreringen med tilbakekoblingsinfrastrukturen lar boten bli en del av den tilgjengelige utvalget av proxyer som brukes til å overføre trafikk på vegne av klienter.

Etter å ha analysert "connect"-kommandofeltene, starter skadevaren en økt med tilbakekoblingsserveren via port 1074/TCP, ved å bruke en tilpasset binær protokoll. Når økten er etablert, kan boten fungere som en proxy.

Ved å etablere en økt med en tilbakekoblingsserver på port 1074/TCP, tildeles boten en unik TCP-port (referert til som serverporten) på serversiden, åpnet for å motta trafikk fra klienter. Klienter må kjenne tilbakekoblingsserverens IP-adresse, TCP-porten som er tilordnet det infiserte systemet, og enten ha sin offentlige IP-hviteliste eller ha riktig påloggingsinformasjon for å bruke proxyen. Uten denne informasjonen vil ikke serveren godta trafikken.

Forskerne har identifisert minst 53 servere som brukes av dette botnettet, alle lokalisert i Europa og spredt over Frankrike, Bulgaria, Nederland og Sverige.

De 10 mest berørte landene inkluderer India, Brasil, Colombia, Sør-Afrika, Bangladesh, Argentina, Angola, USA, Surinam og Nigeria.

Trusselaktørene som er ansvarlige for Socks5Systemz botnett tilbyr to abonnementsplaner: 'Standard' og 'VIP.' Kunder kan bruke Cryptomus Crypto Payment Gateway på cryptomus.com.