O botnet Socks5Systemz infectou milhares de dispositivos

Pesquisadores da BitSight revelaram um botnet proxy conhecido como Socks5Systemz, que foi entregue por meio dos carregadores PrivateLoader e Amadey. O nome Socks5Systemz é derivado do painel de login consistente encontrado em todos os servidores C2. Este botnet proxy está ativo pelo menos desde 2016, mas passou despercebido.

Atores maliciosos estão fornecendo proxies de encaminhamento de tráfego para fins ilícitos aos clientes, cobrando preços que variam de US$ 1 a US$ 140 por dia em criptomoeda.

O exame dos dados de telemetria da rede indica que esta botnet infectou aproximadamente 10.000 sistemas, sem que nenhum sistema infectado tenha sido encontrado na Rússia.

Todas as amostras examinadas por especialistas são distribuídas por PrivateLoader e Amadey e executam um arquivo chamado “previewer.exe”, que estabelece persistência e injeta o bot proxy na memória. O carregador mantém a persistência criando um serviço do Windows com o nome e o nome de exibição definidos como "ContentDWSvc".

Para evitar a detecção e reforçar a resistência do botnet à remoção, o bot proxy utiliza um algoritmo de geração de domínio (DGA).

Socks5Systemz vem com comandos de comunicação

O comando mais crítico é o comando “connect”, que instrui o bot a estabelecer uma sessão com um servidor backconnect na porta 1074/TCP. Esse registro na infraestrutura de backconnect permite que o bot se torne parte do conjunto disponível de proxies usados para transmitir tráfego em nome dos clientes.

Depois de analisar os campos de comando “connect”, o malware inicia uma sessão com o servidor backconnect através da porta 1074/TCP, usando um protocolo binário personalizado. Assim que a sessão for estabelecida, o bot pode funcionar como proxy.

Ao estabelecer uma sessão com um servidor backconnect na porta 1074/TCP, o bot recebe uma porta TCP exclusiva (conhecida como porta do servidor) no lado do servidor, aberta para receber tráfego de clientes. Os clientes devem saber o endereço IP do servidor backconnect, a porta TCP atribuída ao sistema infectado e ter seu IP público na lista de permissões ou possuir as credenciais de login corretas para usar o proxy. Sem esta informação, o servidor não aceitará o tráfego.

Os investigadores identificaram pelo menos 53 servidores utilizados por esta botnet, todos situados na Europa e espalhados por França, Bulgária, Países Baixos e Suécia.

Os 10 países mais afetados incluem Índia, Brasil, Colômbia, África do Sul, Bangladesh, Argentina, Angola, Estados Unidos, Suriname e Nigéria.

Os agentes de ameaças responsáveis pelo botnet Socks5Systemz oferecem dois planos de assinatura: ‘Standard’ e ‘VIP’. Os clientes podem usar o Cryptomus Crypto Payment Gateway em cryptomus.com.