Ботнет прокси-сервиса Socks5Systemz, заражающий компьютеры по всему миру с помощью загрузчиков вредоносных программ PrivateLoader и Amadey, в настоящее время насчитывает 10 000 инфицированных устройств.
Вредоносная программа заражает компьютеры и превращает их в прокси-серверы для переадресации вредоносного, нелегального или анонимного трафика. Он продает эту услугу подписчикам, которые платят за нее от 1 до 140 долл. в день в криптовалюте.
О Socks5Systemz подробно рассказывается в отчете BitSight, в котором уточняется, что ботнет-прокси существует как минимум с 2016 года, но до недавнего времени оставался относительно малозаметным.
Socks5Systemz
Бот Socks5Systemz распространяется с помощью вредоносных программ PrivateLoader и Amadey, которые часто распространяются с помощью фишинга, наборов эксплойтов, малвертирования, троянизированных исполняемых файлов, загружаемых из P2P-сетей, и т.д.
Образцы, замеченные BitSight, имеют имя 'previewer.exe', их задача - внедрить прокси-бота в память хоста и установить для него персистентность через службу Windows под названием 'ContentDWSvc'.
Полезная нагрузка прокси-бота представляет собой 32-разрядную DLL-библиотеку размером 300 КБ. Она использует алгоритм генерации доменов (DGA) для связи со своим командно-контрольным (C2) сервером и отправки профильной информации о зараженной машине.
В ответ C2 может отправить на выполнение одну из следующих команд:
- idle : Не выполнять никаких действий.
- connect : Подключиться к серверу backconnect.
- disconnect : Отключиться от сервера backconnect.
- updips : Обновить список IP-адресов, разрешенных для отправки трафика.
- upduris : Пока не реализовано.
Команда connect является ключевой, она дает команду боту установить соединение с сервером backconnect через порт 1074/TCP.
После подключения к инфраструктуре угроз зараженное устройство может быть использовано в качестве прокси-сервера и продано другим угрозам.
При подключении к серверу backconnect используются поля, определяющие IP-адрес, пароль прокси-сервера, список заблокированных портов и т.д. Параметры этих полей обеспечивают взаимодействие с управляющими серверами только ботов, находящихся в списке разрешенных и обладающих необходимыми учетными данными, блокируя несанкционированные попытки.
Нелегальное воздействие на бизнес
BitSight отобразила обширную инфраструктуру контроля, состоящую из 53 прокси-ботов, backconnect, DNS и серверов сбора адресов, расположенных в основном во Франции и по всей Европе (Нидерланды, Швеция, Болгария).
С начала октября аналитики зафиксировали 10 000 различных попыток обмена данными по порту 1074/TCP с выявленными серверами backconnect, что свидетельствует о равном количестве жертв.
Географическое распределение неравномерно и случайным образом охватывает весь земной шар, однако наибольшее количество заражений приходится на Индию, США, Бразилию, Колумбию, ЮАР, Аргентину и Нигерию.
Доступ к услугам проксирования Socks5Systemz продается в виде двух уровней подписки - "Стандарт" и "VIP", оплата которых производится через анонимный (без KYC) платежный шлюз "Криптомус".
Для добавления в список разрешений бота подписчики должны указать IP-адрес, с которого будет поступать проксируемый трафик.
Стандартные подписчики ограничены одним потоком и типом прокси, в то время как VIP-пользователи могут использовать 100-5000 потоков и устанавливать тип прокси: SOCKS4, SOCKS5 или HTTP.
Цены на каждый вид услуг приведены ниже.
Резидентные прокси-ботнеты - это прибыльный бизнес, оказывающий существенное влияние на безопасность Интернета и несанкционированный захват пропускной способности.
Эти сервисы широко используются для создания торговых ботов и обхода гео-ограничений, что делает их очень популярными.
В августе аналитики AT&T выявили разветвленную прокси-сеть, насчитывающую более 400 тыс. узлов, в которой неосведомленные пользователи Windows и macOS выступали в качестве выходных узлов, направляющих интернет-трафик других пользователей.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!