Ένα botnet μεσολάβησης που ονομάζεται «Socks5Systemz» μολύνει υπολογιστές σε όλο τον κόσμο μέσω των φορτωτών κακόβουλου λογισμικού «PrivateLoader» και «Amadey», μετρώντας επί του παρόντος 10.000 μολυσμένες συσκευές.
Το
κακόβουλο λογισμικό
μολύνει υπολογιστές και τους μετατρέπει σε διακομιστές προώθησης κίνησης για κακόβουλη, παράνομη ή ανώνυμη κυκλοφορία. Πουλά αυτήν την υπηρεσία σε συνδρομητές που πληρώνουν από 1 έως 140 $ την ημέρα σε κρυπτογράφηση για να έχουν πρόσβαση σε αυτήν.
Το Socks5Systemz περιγράφεται λεπτομερώς στο α
αναφορά από το BitSight
Αυτό διευκρινίζει ότι το botnet μεσολάβησης υπήρχε τουλάχιστον από το 2016, αλλά παρέμεινε σχετικά υπό το ραντάρ μέχρι πρόσφατα.
Socks5Systemz
Το bot Socks5Systemz διανέμεται από το κακόβουλο λογισμικό PrivateLoader και Amadey, τα οποία συχνά διαδίδονται μέσω phishing, κιτ εκμετάλλευσης, κακόβουλης διαφήμισης, trojanized εκτελέσιμων αρχείων που λαμβάνονται από δίκτυα P2P κ.λπ.
Τα δείγματα που βλέπει το BitSight ονομάζονται «previewer.exe» και η αποστολή τους είναι να εισάγουν το bot διακομιστή μεσολάβησης στη μνήμη του κεντρικού υπολογιστή και να εδραιώσουν την
επιμονή
του μέσω μιας υπηρεσίας των Windows που ονομάζεται «ContentDWSvc».
Το ωφέλιμο φορτίο του bot διακομιστή μεσολάβησης είναι ένα DLL 300 KB 32-bit. Χρησιμοποιεί ένα σύστημα αλγόριθμου δημιουργίας τομέα (DGA) για να συνδεθεί με τον διακομιστή εντολών και ελέγχου (C2) και να στείλει πληροφορίες προφίλ στο μολυσμένο μηχάνημα.
Σε απόκριση, το C2 μπορεί να στείλει μία από τις ακόλουθες εντολές για εκτέλεση:
-
αδρανής
: Μην κάνετε καμία ενέργεια. -
συνδέω-συωδεομαι
: Συνδεθείτε σε διακομιστή backconnect. -
αποσυνδέω
: Αποσύνδεση από τον διακομιστή backconnect. -
updips
: Ενημερώστε τη λίστα με τις διευθύνσεις IP που είναι εξουσιοδοτημένες για αποστολή επισκεψιμότητας. -
upduris
: Δεν έχει εφαρμοστεί ακόμα.
Η εντολή σύνδεσης είναι ζωτικής σημασίας, καθώς δίνει οδηγίες στο bot να δημιουργήσει μια σύνδεση διακομιστή backconnect μέσω της θύρας 1074/TCP.
Αφού συνδεθεί στην υποδομή των φορέων απειλής, η μολυσμένη συσκευή μπορεί πλέον να χρησιμοποιηθεί ως διακομιστής μεσολάβησης και να πωληθεί σε άλλους παράγοντες απειλής.
Διάγραμμα συνδεσιμότητας
(BitSight)
Κατά τη σύνδεση στον διακομιστή backconnect, χρησιμοποιεί πεδία που καθορίζουν τη διεύθυνση IP, τον κωδικό πρόσβασης διακομιστή μεσολάβησης, τη λίστα αποκλεισμένων θυρών κ.λπ. Αυτές οι παράμετροι πεδίου διασφαλίζουν ότι μόνο τα bots στη λίστα επιτρεπόμενων και με τα απαραίτητα διαπιστευτήρια σύνδεσης μπορούν να αλληλεπιδράσουν με τους διακομιστές ελέγχου, αποκλείοντας μη εξουσιοδοτημένες προσπάθειες.
Σύνδεση παραμέτρων εντολής
(BitSight)
Παράνομες επιχειρηματικές επιπτώσεις
Το BitSight χαρτογράφησε μια εκτεταμένη υποδομή ελέγχου 53 διακομιστών proxy bot, backconnect, DNS και απόκτησης διευθύνσεων που βρίσκονται κυρίως στη
Γαλλία
και σε ολόκληρη την Ευρώπη (Ολλανδία, Σουηδία, Βουλγαρία).
Από τις αρχές Οκτωβρίου, οι αναλυτές κατέγραψαν 10.000 ξεχωριστές απόπειρες επικοινωνίας μέσω της θύρας 1074/TCP με τους αναγνωρισμένους διακομιστές backconnect, υποδεικνύοντας ίσο αριθμό θυμάτων.
Η γεωγραφική κατανομή είναι αραιή και τυχαία, καλύπτοντας ολόκληρο τον κόσμο, αλλά η Ινδία, οι Ηνωμένες Πολιτείες, η Βραζιλία, η Κολομβία, η Νότια Αφρική, η Αργεντινή και η Νιγηρία μετρούν τις περισσότερες μολύνσεις.
Χάρτης θερμότητας θυμάτων
(BitSight)
Η πρόσβαση στις
υπηρεσίες
διακομιστή μεσολάβησης Socks5Systemz πωλείται σε δύο επίπεδα συνδρομής, συγκεκριμένα “Standard” και “VIP”, για τις οποίες οι πελάτες πληρώνουν μέσω ανώνυμων (
όχι KYC
) πύλη πληρωμής «Cryptomus».
Οι συνδρομητές πρέπει να δηλώσουν τη διεύθυνση IP από την οποία θα προέρχεται η κίνηση μέσω διακομιστή για να προστεθεί στη λίστα επιτρεπόμενων του bot.
Οι τυπικοί συνδρομητές περιορίζονται σε ένα μόνο νήμα και τύπο διακομιστή μεσολάβησης, ενώ οι χρήστες VIP μπορούν να χρησιμοποιήσουν 100-5000 νήματα και να ορίσουν τον τύπο διακομιστή μεσολάβησης σε SOCKS4, SOCKS5 ή HTTP.
Οι τιμές για κάθε προσφορά υπηρεσίας δίνονται παρακάτω.
Κόστος συνδρομής ανά πρόγραμμα
(BitSight)
Τα οικιακά botnet μεσολάβησης είναι μια επικερδής επιχείρηση που έχει σημαντικό αντίκτυπο στην ασφάλεια του Διαδικτύου και στη μη εξουσιοδοτημένη παραβίαση εύρους ζώνης.
Αυτές οι υπηρεσίες χρησιμοποιούνται συνήθως για ρομπότ αγορών και παρακάμπτοντας τους γεωγραφικούς περιορισμούς, καθιστώντας τις πολύ δημοφιλείς.
VIA:
bleepingcomputer.com