Um botnet malicioso conhecido como Socks5Systemz está alimentando um serviço de proxy chamado PROXY.AM, de acordo com novas descobertas da Bitsight.
"Malwares de proxy e serviços possibilitam outros tipos de atividade criminosa, adicionando camadas descontroladas de anonimato aos atores da ameaça, para que eles possam realizar todos os tipos de atividades maliciosas usando cadeias de sistemas vítimas," a equipe de pesquisa de segurança da empresa afirmou em uma análise publicada na última semana.
A revelação vem apenas semanas depois da equipe Black Lotus Labs na Lumen Technologies ter revelado que sistemas comprometidos por outro malware conhecido como Ngioweb estão sendo abusados como servidores proxy residenciais para NSOCKS.
O Socks5Systemz, originalmente anunciado no submundo do cibercrime tão atrás quanto Março de 2013, foi anteriormente documentado pela BitSight como sendo empregado como parte de ciberataques mirando a distribuição de PrivateLoader, SmokeLoader, e Amadey.
O objetivo principal do malware é transformar sistemas comprometidos em nós de saída proxy, que são então anunciados para outros atores, tipicamente cibercriminosos que estão buscando obscurecer a fonte de seus ataques.
O serviço de proxy ilegal existe desde 2016.
Os países com o maior número de hosts infectados são Índia, Indonésia, Ucrânia, Argélia, Vietnã, Rússia, Turquia, Brasil, México, Paquistão, Tailândia, Filipinas, Colômbia, Egito, Estados Unidos, Argentina, Bangladesh, Marrocos e Nigéria.
Até Janeiro de 2024, o tamanho do botnet é dito ter aumentado para uma média diária de cerca de 250.000 máquinas, embora estimativas atuais o coloquem em algum lugar entre 85.000 a 100.000.
No momento da redação, o PROXY.AM afirma ter 80.888 nós proxy disponíveis de 31 países diferentes.
"Em Dezembro de 2023, o ator da ameaça perdeu o controle do Socks5Systemz V1 e teve que reconstruir o botnet do zero com uma infraestrutura de [comando-e-controle] completamente diferente — o que nós chamamos de botnet Socks5Systemz V2," a Bitsight disse, explicando as razões para a diminuição.
Como o Socks5Systemz é distribuído por loaders (como PrivateLoader, SmokeLoader, ou Amadey) que persistem no sistema, novas campanhas de distribuição foram usadas para substituir infecções antigas com novos payloads.
PROXY.AM (proxy[.]am e proxyam[.]one) se anuncia como oferecendo "servidores proxy elite, privados e anônimos" por valores entre $126/mês (Pacote Ilimitado) e $700/mês (Pacote VIP).
A revelação segue um relatório da Trend Micro que detalhou tentativas contínuas de atores de ameaças de mirar servidores Docker Remote API mal configurados com o malware botnet Gafgyt para ajudar a conduzir ataques de negação de serviço distribuído (DDoS) contra alvos de interesse.
Enquanto Gafgyt tem um histórico de mirar dispositivos IoT vulneráveis, a exploração do malware de senhas SSH fracas e instâncias Docker indica uma ampliação de seu escopo.
"Notamos atacantes mirando servidores Docker remote API expostos publicamente e mal configurados para implantar o malware criando um contêiner Docker baseado em uma imagem Docker 'alpine' legítima," o pesquisador de segurança Sunil Bharti disse.
Juntamente com a implantação do malware Gafgyt, atacantes usaram malware botnet Gafgyt para infectar a vítima.
Misconfigurações na nuvem têm se mostrado uma superfície de ataque atraente para atores de ameaça buscando implantar mineradores de criptomoedas, roubar dados e cooptá-los em botnets para ataques DDoS.
Segundo uma nova análise empírica por um grupo de pesquisadores da Universidade de Leiden e TU Delft, até 215 instâncias foram encontradas expondo credenciais sensíveis que poderiam potencialmente conceder a atacantes acesso não autorizado a serviços como bancos de dados, infraestrutura de nuvem e APIs de terceiros.
A maioria das instâncias estava localizada nos Estados Unidos, Índia, Austrália, Grã-Bretanha, Brasil e Coreia do Sul, abrangendo vários setores como tecnologia da informação (TI), varejo, finanças, educação, mídia e saúde.
"As descobertas sublinham a necessidade urgente de uma melhor administração do sistema e vigilância rigorosa para prevenir vazamento de dados," a equipe do Modat disse.
O impacto do vazamento desses segredos pode ser imenso, variando do controle total da infraestrutura de segurança das organizações à personificação e infiltração em infraestrutura de nuvem protegida.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...