Os operadores da botnet SystemBC proxy estão focados em atacar servidores virtuais privados (VPS) comerciais vulneráveis.
Diariamente, eles mantêm uma média de 1.500 bots ativos que atuam como um canal para tráfego malicioso.
Esses servidores comprometidos estão distribuídos pelo mundo todo e possuem pelo menos uma vulnerabilidade crítica sem patch, sendo que alguns acumulam dezenas de falhas de segurança.
O SystemBC existe desde pelo menos 2019 e tem sido utilizado por diversos grupos criminosos, incluindo grupos de ransomware, para entregar payloads maliciosos.
O malware permite que os atacantes direcionem o tráfego malicioso por meio do host infectado, além de ocultar as atividades de command-and-control (C2), dificultando sua detecção pelas equipes de segurança.
Segundo pesquisadores da Black Lotus Labs, divisão da Lumen Technology, a rede proxy do SystemBC foi criada para operar em grande volume, sem muito foco em stealth.
Ela também alimenta outras redes criminosas de proxy e apresenta “tempo médio de infecção extremamente longo”.
De acordo com a análise dos especialistas, nem os operadores nem os clientes do SystemBC se preocupam em manter um perfil discreto.
Os endereços IP dos bots não são protegidos por técnicas como obfuscação ou rotação, o que facilita a sua identificação.
A rede SystemBC conta com mais de 80 servidores de command-and-control, que conectam os clientes aos proxies infectados.
Além disso, alimenta outros serviços criminosos relacionados a redes proxy.
Um desses serviços, chamado REM Proxy, depende de cerca de 80% dos bots do SystemBC, oferecendo níveis variados de proxy aos seus clientes, conforme a qualidade desejada.
Outro cliente relevante é um grande serviço russo de web scraping, além de uma rede proxy vietnamita conhecida como VN5Socks ou Shopsocks5.
Entretanto, os pesquisadores apontam que os operadores do SystemBC utilizam principalmente a rede para ataques de força bruta a credenciais do WordPress, que são provavelmente vendidas a intermediários para injetar códigos maliciosos em sites.
Quase 80% da rede SystemBC, composta por 1.500 bots ativos diariamente, é formada por servidores VPS comprometidos de vários “grandes provedores comerciais”.
Segundo a Black Lotus Labs, isso resulta em um ciclo de infecção mais prolongado do que a média: quase 40% dos sistemas permanecem comprometidos por mais de um mês.
Todos os servidores infectados apresentam múltiplas vulnerabilidades “fáceis de explorar”, com uma média de 20 falhas de segurança não corrigidas, sendo pelo menos uma delas de gravidade crítica.
Em um caso extremo, os pesquisadores encontraram um VPS localizado no Alabama listado na plataforma Censys com 161 vulnerabilidades de segurança.
Ao comprometer servidores VPS, o SystemBC garante um tráfego estável e em grande volume para seus clientes — algo que não é viável em redes de proxy residenciais baseadas em dispositivos SOHO.
Em testes realizados em ambiente simulado, os pesquisadores observaram um caso em que um único IP gerou mais de 16 gigabytes de dados de proxy em apenas 24 horas.
“Esse volume de dados é uma ordem de magnitude maior do que o normalmente observado em redes proxy tradicionais”, afirmam os especialistas da Black Lotus Labs em relatório divulgado ao BleepingComputer.
Com base em telemetria global de IPs, um endereço (104[.]250.164[.]214) parece ser o núcleo da atividade de recrutamento de vítimas e hospeda todas as 180 amostras do malware SystemBC.
A análise indica que, ao ser infectado, o servidor baixa um shell script com comentários em russo que instrui o bot a executar simultaneamente todas as amostras do SystemBC.
A rede proxy do SystemBC está ativa há bastante tempo e resistiu até a operações policiais, como a Endgame, que mirou os distribuidores de malware de vários botnets, incluindo o SystemBC.
A Black Lotus Labs disponibiliza uma análise técnica detalhada do malware SystemBC e indicadores de comprometimento (IOCs), auxiliando organizações a identificar tentativas de intrusão e interromper essa operação criminosa.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...