Uma botnet proxy, “Meias5Systemz”, usa carregadores de malware para se infiltrar em computadores em todo o mundo. Os invasores infectaram cerca de 10,000 dispositivos e organizou um serviço de proxy completo baseado nele.
Visão geral do malware Socks5Systemz Dropper
Uma análise recente da Bitsight revelou a existência de uma nova amostra de malware chamada botnet proxy Socks5Systemz. Embora esteja ativo desde 2016, passou despercebido até agora. O objetivo principal deste malware é converter os dispositivos infectados em proxies de encaminhamento de tráfego, habilitando mal-intencionado, ilegal, ou atividades anônimas.
Os atores da ameaça podem acessar esse serviço secreto pagando entre $1 e $140 em criptomoeda. Dependendo da soma, desenvolvedores de malware oferecem funcionalidades mais amplas ao usuário. O botnet Socks5Systemz normalmente se espalha por meio de malware como PrivateLoader e Amadey, que é comumente propagado através de phishing, kits de exploração, e malware baixado from P2P networks.
Como funciona o Socks5Systemz?
O relatório de análise de bot proxy descreve um programa de computador prejudicial sobre 300 KB em tamanho. Ele cria um ID específico com base na data do diretório do Windows no computador que infecta. Quando é executado pela primeira vez, salva a hora atual, baixa um arquivo PDF de um site específico, e salva no computador. Em seguida, ele tenta encontrar uma maneira de se comunicar com um servidor C2, que é controlado pela pessoa que criou o bot.
Se não conseguir se conectar através do método, ele tenta primeiro, it sends an HTTP request para um site específico solicitando o endereço IP de um servidor C2 válido. Depois de se conectar a um servidor C2 válido, ele pode executar vários comandos, Incluindo “parado,” “conectar,” “desconectar,” “atualizações,” e “upduris.” O “conectar” comando é vital porque permite que o bot se torne parte de um grupo de proxies disponíveis que pode ser usado para encaminhar tráfego em nome de clientes.
Expandindo a rede proxy
Especialistas mapearam uma infraestrutura de controle que inclui 53 robôs proxy, backconectar, DNS, e servidores de aquisição de endereços. Esses servidores estão espalhados principalmente por países europeus, como a França, Os Países Baixos, Suécia, e Bulgária. Desde outubro, analistas descobriram 10,000 tentativas únicas de comunicação via porta 1074/TCP com os servidores backconnect identificados, o que indica que há aproximadamente 10,000 vítimas.
Geral, o botnet proxy Socks5Systemz tem um impacto mundial, com infecções observadas em todo o mundo. O maior número de infecções foi relatado na Índia, os Estados Unidos, Brasil, Colômbia, África do Sul, Argentina, e Nigéria. No entanto, a ausência de sistemas infectados se comunicando com servidores backconnect na Rússia, combinado com outras pistas descobertas durante a pesquisa, sugere que os operadores deste serviço podem estar baseados na Rússia.
O serviço de proxy
Uma investigação sobre a infraestrutura da botnet revelou um usuário do Telegram chamado “impulsionar” que compartilhou uma captura de tela de uma ferramenta de verificação de conta usando os endereços IP dos servidores backconnect como proxies. Esta descoberta mostrou que “impulsionar” sells compromised accounts e acesso aos proxies.
Usando um bot do Telegram chamado “BoostyProxy,” “impulsionar” estabeleceu um serviço de proxy completo. O serviço oferece duas opções de assinatura: “Padrão” e “VIP.”
A assinatura Standard permite o uso de um único tipo de proxy sem multithreading, enquanto a assinatura VIP oferece mais flexibilidade, apoiando vários tipos de proxy (meias4, meias5, e HTTP) e vários tópicos. Aqui estão as opções de preços para ambos os níveis de assinatura: O padrão começa em $1 por um dia com Single Thread e termina às $28 por três meses. VIP começa em $22 por um dia com 100 Tópicos e termina em $4000 durante três meses com 5000 tópicos. Todos os pagamentos são feitos usando criptomoeda através do Cryptomus Crypto Payment Gateway.
Proteção contra botnets
A descoberta do botnet proxy Socks5Systemz destaca o perigo contínuo que os cibercriminosos representam para o mundo digital. Este botnet pode prejudicar indivíduos e toda uma rede de sistemas comprometidos, ajudando em vários tipos de crimes cibernéticos. Para manter seus sistemas e rede protegidos contra o botnet proxy Socks5Systemz e outras ameaças semelhantes, Siga esses passos:
- Usar segurança de endpoint. Instale software antivírus e antimalware atualizado para detectar e prevenir ameaças.
- Mantenha o software atualizado. Atualize regularmente seus sistemas operacionais e aplicativos de software para corrigir quaisquer vulnerabilidades que possam ser exploradas.
- Aumente a segurança da rede. Use sistemas de detecção e prevenção de intrusões para monitorar o tráfego de rede em busca de atividades suspeitas. Implemente firewalls para evitar acesso não autorizado à sua rede e ativos críticos. Use a segmentação de rede para limitar o movimento lateral dentro da rede em caso de violação.
- Eduque os funcionários. Ensine aos seus funcionários os riscos de clicar em links suspeitos e baixar anexos de fontes desconhecidas. Incentive-os a usar senhas fortes e exclusivas e ativar a autenticação de dois fatores.
- Use filtragem de e-mail. Implemente soluções de filtragem de e-mail e detecção de phishing para bloquear e-mails maliciosos. Treine os funcionários para reconhecer tentativas de phishing e evitar clicar em links prejudiciais.
- Execute backups regulares de dados. Faça backup de seus dados regularmente e armazene-os em um local seguro, ambiente isolado. Teste estes procedimentos para garantir que os dados possam ser restaurados rapidamente em caso de incidente.
- Monitore a atividade da rede. Monitore continuamente sua rede em busca de atividades ou conexões incomuns que possam indicar um comprometimento.
- Mantenha-se informado. Assine serviços de inteligência contra ameaças para se manter informado sobre ameaças emergentes.
