Socks5Systemz Botnet infiserte tusenvis av enheter
Forskere fra BitSight har avduket et proxy-botnett kjent som Socks5Systemz, som ble levert via PrivateLoader- og Amadey-lasterne. Navnet Socks5Systemz er avledet fra det konsistente påloggingspanelet som finnes på alle C2-serverne. Dette proxy-botnettet har vært aktivt siden minst 2016, men har stort sett gått ubemerket hen.
Ondsinnede aktører gir trafikkvideresendingsfullmakter for ulovlige formål til kunder, og belaster priser som varierer fra $1 til $140 per dag i kryptovaluta.
Undersøkelse av nettverkstelemetridata indikerer at dette botnettet har infisert omtrent 10 000 systemer, uten at noen infiserte systemer er funnet i Russland.
Alle prøvene gransket av eksperter distribueres av PrivateLoader og Amadey og kjører en fil som heter "previewer.exe", som etablerer utholdenhet og injiserer proxy-roboten i minnet. Lasteren opprettholder utholdenhet ved å opprette en Windows-tjeneste med navnet og visningsnavnet satt til "ContentDWSvc."
For å unngå deteksjon og styrke botnettets motstand mot fjerning, bruker proxy-boten en domenegenereringsalgoritme (DGA).
Socks5Systemz leveres med kommunikasjonskommandoer
Den mest kritiske kommandoen er "connect"-kommandoen, som instruerer boten til å etablere en økt med en tilbakekoblingsserver på port 1074/TCP. Denne registreringen med tilbakekoblingsinfrastrukturen lar boten bli en del av den tilgjengelige utvalget av proxyer som brukes til å overføre trafikk på vegne av klienter.
Etter å ha analysert "connect"-kommandofeltene, starter skadevaren en økt med tilbakekoblingsserveren via port 1074/TCP, ved å bruke en tilpasset binær protokoll. Når økten er etablert, kan boten fungere som en proxy.
Ved å etablere en økt med en tilbakekoblingsserver på port 1074/TCP, tildeles boten en unik TCP-port (referert til som serverporten) på serversiden, åpnet for å motta trafikk fra klienter. Klienter må kjenne tilbakekoblingsserverens IP-adresse, TCP-porten som er tilordnet det infiserte systemet, og enten ha sin offentlige IP-hviteliste eller ha riktig påloggingsinformasjon for å bruke proxyen. Uten denne informasjonen vil ikke serveren godta trafikken.
Forskerne har identifisert minst 53 servere som brukes av dette botnettet, alle lokalisert i Europa og spredt over Frankrike, Bulgaria, Nederland og Sverige.
De 10 mest berørte landene inkluderer India, Brasil, Colombia, Sør-Afrika, Bangladesh, Argentina, Angola, USA, Surinam og Nigeria.
Trusselaktørene som er ansvarlige for Socks5Systemz botnett tilbyr to abonnementsplaner: 'Standard' og 'VIP.' Kunder kan bruke Cryptomus Crypto Payment Gateway på cryptomus.com.