Ботнет Socks5Systemz заразил тысячи устройств
Исследователи из BitSight представили прокси-ботнет, известный как Socks5Systemz, который доставлялся через загрузчики PrivateLoader и Amadey. Название Socks5Systemz происходит от единой панели входа в систему, которая есть на всех серверах C2. Этот прокси-ботнет активен как минимум с 2016 года, но по большей части остался незамеченным.
Злоумышленники предоставляют клиентам прокси-серверы для переадресации трафика в незаконных целях, взимая цены от 1 до 140 долларов США в день в криптовалюте.
Анализ данных сетевой телеметрии показывает, что этот ботнет заразил около 10 000 систем, при этом в России зараженных систем не обнаружено.
Все образцы, проверенные экспертами, распространяются PrivateLoader и Amadey и запускают файл с именем «previewer.exe», который обеспечивает постоянство и внедряет прокси-бот в память. Загрузчик сохраняет постоянство, создавая службу Windows с именем и отображаемым именем, установленным на «ContentDWSvc».
Чтобы избежать обнаружения и повысить устойчивость ботнета к удалению, прокси-бот использует алгоритм генерации домена (DGA).
Socks5Systemz поставляется в комплекте с коммуникационными командами
Наиболее важной командой является команда «connect», которая дает команду боту установить сеанс с сервером обратного подключения через порт 1074/TCP. Такая регистрация в инфраструктуре обратного подключения позволяет боту стать частью доступного пула прокси, используемых для передачи трафика от имени клиентов.
После анализа полей команды «connect» вредоносная программа инициирует сеанс с сервером обратного подключения через порт 1074/TCP, используя собственный двоичный протокол. После установления сеанса бот может работать как прокси.
После установления сеанса с сервером обратного подключения через порт 1074/TCP боту назначается уникальный TCP-порт (называемый портом сервера) на стороне сервера, открытый для приема трафика от клиентов. Клиенты должны знать IP-адрес сервера обратного подключения, TCP-порт, назначенный зараженной системе, и либо иметь свой общедоступный IP-адрес в белом списке, либо обладать правильными учетными данными для входа в систему для использования прокси. Без этой информации сервер не будет принимать трафик.
Исследователи выявили как минимум 53 сервера, используемые этим ботнетом, все они расположены в Европе и во Франции, Болгарии, Нидерландах и Швеции.
В топ-10 наиболее пострадавших стран входят Индия, Бразилия, Колумбия, Южная Африка, Бангладеш, Аргентина, Ангола, США, Суринам и Нигерия.
Злоумышленники, ответственные за ботнет Socks5Systemz, предлагают два плана подписки: «Стандартный» и «VIP». Клиенты могут использовать криптоплатежный шлюз Cryptomus на сайте cryptomus.com.