Socks5Systemz Botnet zainfekował tysiące urządzeń
Badacze z BitSight ujawnili botnet proxy znany jako Socks5Systemz, który był dostarczany za pośrednictwem programów ładujących PrivateLoader i Amadey. Nazwa Socks5Systemz wywodzi się od spójnego panelu logowania występującego na wszystkich serwerach C2. Ten botnet proxy jest aktywny co najmniej od 2016 r., ale w dużej mierze pozostał niezauważony.
Złośliwi uczestnicy udostępniają klientom serwery proxy przekierowujące ruch do nielegalnych celów, pobierając ceny w kryptowalutach od 1 do 140 dolarów dziennie.
Analiza danych telemetrycznych sieci wskazuje, że botnet ten zainfekował około 10 000 systemów, przy czym w Rosji nie znaleziono żadnego zainfekowanego systemu.
Wszystkie próbki sprawdzone przez ekspertów są dystrybuowane przez PrivateLoader i Amadey i uruchamiają plik o nazwie „previewer.exe”, który ustanawia trwałość i wstawia bota proxy do pamięci. Program ładujący utrzymuje trwałość, tworząc usługę Windows z nazwą i nazwą wyświetlaną ustawioną na „ContentDWSvc”.
Aby uniknąć wykrycia i zwiększyć odporność botnetu na usunięcie, bot proxy wykorzystuje algorytm generowania domeny (DGA).
Socks5Systemz jest dostarczany w zestawie z poleceniami komunikacyjnymi
Najbardziej krytycznym poleceniem jest polecenie „connect”, które instruuje bota, aby nawiązał sesję z serwerem backconnect na porcie 1074/TCP. Rejestracja w infrastrukturze backconnect pozwala botowi stać się częścią dostępnej puli serwerów proxy używanych do przesyłania ruchu w imieniu klientów.
Po przeanalizowaniu pól poleceń „connect” złośliwe oprogramowanie inicjuje sesję z serwerem połączenia zwrotnego za pośrednictwem portu 1074/TCP, korzystając z niestandardowego protokołu binarnego. Po nawiązaniu sesji bot może działać jako serwer proxy.
Po ustanowieniu sesji z serwerem backconnect na porcie 1074/TCP, botowi przypisywany jest unikalny port TCP (zwany portem serwera) po stronie serwera, otwarty w celu przyjmowania ruchu od klientów. Klienci muszą znać adres IP serwera połączeń wstecznych, port TCP przypisany do zainfekowanego systemu, a także mieć swój publiczny adres IP na białej liście lub posiadać prawidłowe dane logowania, aby móc korzystać z serwera proxy. Bez tych informacji serwer nie będzie akceptował ruchu.
Badacze zidentyfikowali co najmniej 53 serwery wykorzystywane przez ten botnet, wszystkie zlokalizowane w Europie i rozmieszczone we Francji, Bułgarii, Holandii i Szwecji.
Do 10 najbardziej dotkniętych krajów należą Indie, Brazylia, Kolumbia, Republika Południowej Afryki, Bangladesz, Argentyna, Angola, Stany Zjednoczone, Surinam i Nigeria.
Podmioty zagrażające odpowiedzialne za botnet Socks5Systemz oferują dwa plany subskrypcji: „Standardowy” i „VIP”. Klienci mogą korzystać z bramki płatniczej Cryptomus Crypto Payment Gateway na cryptomus.com.
