Socks5Systemz Botnet

Ein Proxy-Botnetz namens „Socks5Systemz“ hat über die Malware-Loader „ PrivateLoader “ und „ Amadey “ still und leise Computer auf der ganzen Welt infiltriert. Derzeit wurden 10.000 Geräte erfolgreich kompromittiert. Diese bedrohliche Software übernimmt die Kontrolle über infizierte Computer und verwandelt sie in unwissende Kanäle für verschiedene Arten von skrupellosem, illegalem oder anonymem Internetverkehr. Das Botnet bietet diesen Dienst Abonnenten an, die gegen eine Gebühr zwischen 1 und 140 US-Dollar pro Tag, die in Kryptowährung bezahlt wird, darauf zugreifen können.

Cybersicherheitsexperten haben herausgefunden, dass das Proxy-Botnetz Socks5Systemz seit mindestens 2016 in Betrieb ist, es jedoch geschafft hat, sich großer Aufmerksamkeit zu entziehen und im Verborgenen zu agieren.

Das Socks5Systemz-Botnetz stellt eine Persistenz auf infizierten Systemen her

Das Socks5Systemz-Botnetz wird über PrivateLoader und die Amadey-Malware verbreitet und üblicherweise auf verschiedene Weise verbreitet, beispielsweise durch Phishing, Exploit-Kits, Malvertising und trojanisierte ausführbare Dateien, die von Peer-to-Peer-Netzwerken heruntergeladen werden.

Die Forscher identifizierten Botnet-Beispiele mit der Bezeichnung „previewer.exe“, die darauf ausgelegt waren, den Speicher des Hosts zu infiltrieren und über einen Windows-Dienst namens „ContentDWSvc“ eine Persistenz herzustellen. Die Proxy-Bot-Nutzlast hat die Form einer 32-Bit-DLL mit 300 KB. Es verwendet ein DGA-System (Domain Generation Algorithm), um sich mit seinem Command-and-Control-Server (C2) zu verbinden und Profilinformationen über den infizierten Computer zu übertragen.

Als Reaktion darauf kann der C2-Server einen der folgenden Befehle zur Ausführung ausgeben:

• • „idle“: Es wird keine Aktion ausgeführt.

• • 'connect': Stellen Sie eine Verbindung zu einem Backconnect-Server her.

• • 'disconnect': Trennt die Verbindung zum Backconnect-Server.

• • „updips“: Aktualisiert die Liste der autorisierten IP-Adressen zum Senden von Datenverkehr.

• • 'upduris': Dieser Befehl ist noch nicht implementiert.

Der Befehl „connect“ ist besonders wichtig, da er den Bot anweist, über Port 1074/TCP eine Verbindung zu einem Backconnect-Server herzustellen.

Sobald das kompromittierte Gerät mit der von Bedrohungsakteuren kontrollierten Infrastruktur verbunden ist, wird es in einen Proxyserver umgewandelt, der an andere Bedrohungsakteure vermarktet werden kann. Bei der Verbindung zum Backconnect-Server werden bestimmte Feldparameter verwendet, um die IP-Adresse, das Proxy-Passwort und eine Liste eingeschränkter Ports zu ermitteln. Diese Parameter stellen sicher, dass nur Bots auf der Zulassungsliste mit den entsprechenden Anmeldeinformationen mit den Kontrollservern interagieren können, wodurch unbefugte Versuche wirksam verhindert werden.

Das Socks5Systemz Botnet wird in verschiedenen Preisstufen verkauft

Allein im Oktober 2023 haben Analysten insgesamt 10.000 einmalige Kommunikationsversuche über den Port 1074/TCP mit den identifizierten Backconnect-Servern dokumentiert. Diese Versuche entsprechen einer gleichen Anzahl von Opfern. Die Verteilung dieser Opfer ist weit verbreitet und eher zufällig und erstreckt sich über den gesamten Globus. Länder wie Indien, die Vereinigten Staaten, Brasilien, Kolumbien, Südafrika, Argentinien und Nigeria weisen jedoch die höchsten registrierten Infektionsraten auf.

Der Zugriff auf die Proxy-Dienste von Socks5Systemz ist über zwei Abonnementstufen möglich, die als „Standard“ und „VIP“ bekannt sind. Kunden tätigen Zahlungen über das anonyme Zahlungsgateway „Cryptomus“.

Abonnenten müssen die IP-Adresse angeben, von der der Proxy-Verkehr stammt, um in die Zulassungsliste des Bots aufgenommen zu werden. Standardabonnenten sind auf einen einzelnen Thread und einen Proxy-Typ beschränkt, während VIP-Benutzer die Flexibilität genießen, 100 bis 5000 Threads zu verwenden und zwischen den Proxy-Typen SOCKS4, SOCKS5 oder HTTP wählen können.

Privat-Proxy-Botnetze stellen ein lukratives Geschäft dar, das erhebliche Auswirkungen auf die Internetsicherheit und den unbefugten Bandbreitenverbrauch hat. Diese Dienste werden häufig für Zwecke wie den Betrieb von Shopping-Bots und die Umgehung von geografischen Beschränkungen genutzt, was sie außerordentlich beliebt macht.