Проксі-ботнет під назвою Socks5Systemz поширюється через завантажувачі шкідливих програм для зараження комп’ютерів по всьому світу

13.11.2023 1 хвилин Автор: Newsman

Глобальне зараження: Socks5Systemz поширюється по всьому світу

За словами дослідників, цей ботнет існував з 2016 року, але донедавна був забутий. З жовтня Socks5Systemz заразив близько 10 000 систем по всьому світу, включаючи Індію, Бразилію, Колумбію, Південну Африку, Бангладеш, Анголу, США та Нігерію.

Образ дії

Атака використовує фішинг, набори експлойтів, шкідливу рекламу та виконувані файли троянів для розповсюдження завантажувачів шкідливих програм.

Під час останнього зараження зловмисник використовував транзитний сервер для зв’язку через порт 1074/TCP. Після встановлення завантажувач зловмисного програмного забезпечення створює дамп і запускає файл під назвою Previewer.exe, зрештою запускаючи ботнет.

Ботнет, 32-розрядна бібліотека DLL розміром 300 КБ, використовує систему DGA для підключення до свого сервера C2 і отримання команд для проникнення в машину. Після підключення до інфраструктури зловмисника заражений пристрій використовується як проксі-сервер і продається іншим загрозам.

Було помічено, що користувач під назвою «boost» продає доступ до зламаних облікових записів і доступ до проксі-серверів за двома рівнями підписки на каналі Telegram.

Мережа ботнету

BitSight відобразив щонайменше 53 сервери Socks5Systemz, усі вони розташовані в Європі та розподілені по Франції, Болгарії, Нідерландах і Швеції. Ці сервери слугували середовищем для кількох цілей, таких як проксі-бот, зворотне підключення, спеціальний DNS і онлайн-перевірка проксі.

Подібні випадки спостерігалися і в минулому

Проксі-ботнети є прибутковим бізнесом для кіберзлочинців, що значно впливає на безпеку Інтернету та викрадення пропускної здатності.

У серпні аналітики AT&T виявили розгалужену проксі-мережу з понад 10 000 IP-адрес для шкідливого ПЗ Adload. Проаналізований зразок шкідливого програмного забезпечення використовувався для зараження систем macOS.

В окремому випадку ФБР попередило про зростаючу тенденцію використання кіберзлочинцями домашніх проксі-серверів для здійснення масштабних атак підробки облікових даних. Під час цієї атаки кіберзлочинці використовували загальновживані паролі, щоб заволодіти обліковими записами жертв і використовувати їх для виконання зловмисних дій.

Висновок кібердиктатора

Щоб залишатися захищеними від сучасних загроз, організаціям рекомендується розгортати засоби виявлення, такі як IDS/IPS, шлюзи безпеки електронної пошти та брандмауери, щоб зупинити загрози кінцевих точок. Крім того, BitSight поділився IoC для поточної загрози, який можна використовувати для розуміння шаблону атаки та використаної інфраструктури.