Uma botnet proxy chamada 'Socks5Systemz' tem infectado computadores em todo o mundo através dos carregadores de malware 'PrivateLoader' e 'Amadey', contando atualmente com 10.000 dispositivos infectados.
O malware infecta computadores e os transforma em proxies para encaminhamento de tráfego malicioso, ilegal ou anônimo.
Ele vende este serviço para assinantes que pagam entre $1 e $140 por dia em cripto para acessá-lo.
Socks5Systemz é detalhado em um relatório da BitSight que esclarece que a botnet proxy existe desde pelo menos 2016, mas permaneceu relativamente fora do radar até recentemente.
O bot Socks5Systemz é distribuído pelos malwares PrivateLoader e Amadey, que geralmente são espalhados via phishing, kits de exploração, malvertising, executáveis trojanizados baixados de redes P2P, etc.
As amostras vistas pela BitSight são chamadas 'previewer.exe', e sua tarefa é injetar o bot proxy na memória do host e estabelecer persistência para ele por meio de um serviço Windows chamado 'ContentDWSvc'.
O payload do bot proxy é uma DLL de 32 bits de 300 KB.
Ele usa um sistema de algoritmo de geração de domínio (DGA) para se conectar ao seu servidor de comando e controle (C2) e enviar informações de perfilagem sobre a máquina infectada.
Em resposta, o C2 pode enviar um dos seguintes comandos para execução:
idle: Não realizar nenhuma ação.
connect: Conectar a um servidor backconnect.
disconnect: Desconectar do servidor backconnect.
updips: Atualizar a lista de endereços IP autorizados a enviar tráfego.
upduris: Ainda não implementado.
O comando connect é crucial, instruindo o bot a estabelecer uma conexão com o servidor backconnect através da porta 1074/TCP.
Uma vez conectado à infraestrutura dos atores de ameaças, o dispositivo infectado pode agora ser usado como um servidor proxy e vendido a outros atores de ameaças.
Ao se conectar ao servidor backconnect, ele usa campos que determinam o endereço IP, senha do proxy, lista de portas bloqueadas, etc.
Esses parâmetros de campo garantem que apenas bots na lista de permissões e com as credenciais de login necessárias podem interagir com os servidores de controle, bloqueando tentativas não autorizadas.
A BitSight mapeou uma extensa infraestrutura de controle de 53 bots proxy, backconnect, DNS, e servidores de aquisição de endereço localizados principalmente na França e em toda a Europa (Holanda, Suécia, Bulgária).
Desde o início de outubro, os analistas registraram 10.000 tentativas distintas de comunicação através da porta 1074/TCP com os servidores backconnect identificados, indicando um número igual de vítimas.
A distribuição geográfica é dispersa e aleatória, cobrindo todo o globo, mas Índia, Estados Unidos, Brasil, Colômbia, África do Sul, Argentina e Nigéria contam com o maior número de infecções.
O acesso aos serviços de proxy do Socks5Systemz é vendido em dois níveis de assinatura, a saber, 'Standard' e 'VIP', para os quais os clientes pagam via a plataforma de pagamento anônima (sem KYC) 'Cryptomus'.
Os assinantes devem declarar o endereço IP de onde o tráfego proxy irá originar para ser adicionado à lista de permissões do bot.
Os assinantes padrão são limitados a um único thread e tipo de proxy, enquanto os usuários VIP podem usar de 100 a 5000 threads e definir o tipo de proxy para SOCKS4, SOCKS5 ou HTTP.
Os preços para cada oferta de serviço são dados abaixo.
Botnets proxy residenciais são um negócio lucrativo que tem um impacto significativo na segurança da internet e no sequestro não autorizado de largura de banda.
Esses serviços são comumente usados para bots de compras e para contornar restrições geográficas, tornando-os muito populares.
Em agosto, analistas da AT&T revelaram uma extensa rede proxy composta por mais de 400.000 nós, na qual usuários inocentes do Windows e macOS estavam servindo como nós de saída canalizando o tráfego de internet de outros.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...