Socks5Systemz Botnet

Una botnet proxy conocida como 'Socks5Systemz' se ha estado infiltrando silenciosamente en ordenadores de todo el mundo a través de los cargadores de malware ' PrivateLoader ' y ' Amadey '. Actualmente, ha comprometido con éxito 10.000 dispositivos. Este software amenazador toma el control de las computadoras infectadas, transformándolas en conductos involuntarios para diversos tipos de tráfico de Internet sin escrúpulos, ilícito o anónimo. La botnet ofrece este servicio a los suscriptores, quienes pueden acceder a él por una tarifa que oscila entre 1 dólar y 140 dólares por día, pagada en criptomonedas.

Los expertos en ciberseguridad han descubierto que la botnet proxy Socks5Systemz ha estado en funcionamiento desde al menos 2016, pero ha logrado evadir una atención significativa y opera en las sombras.

La botnet Socks5Systemz establece persistencia en los sistemas infectados

La botnet Socks5Systemz se difunde a través del malware PrivateLoader y Amadey, que comúnmente se propaga a través de diversos medios, como phishing, kits de explotación, publicidad maliciosa y ejecutables troyanos descargados de redes peer-to-peer.

Los investigadores identificaron muestras de botnet etiquetadas como 'previewer.exe', diseñadas para infiltrarse en la memoria del host y establecer persistencia a través de un servicio de Windows llamado 'ContentDWSvc'. La carga útil del robot proxy toma la forma de una DLL de 32 bits y 300 KB. Emplea un sistema de algoritmo de generación de dominio (DGA) para conectarse con su servidor de comando y control (C2) y transmitir información de perfiles sobre la máquina infectada.

En respuesta, el servidor C2 puede emitir uno de los siguientes comandos para su ejecución:

• • 'inactivo': no se realiza ninguna acción.

• • 'connect': establece una conexión a un servidor de backconnect.

• • 'desconectar': corta la conexión con el servidor de backconnect.

• • 'updips': actualiza la lista de direcciones IP autorizadas para enviar tráfico.

• • 'upduris': este comando aún no está implementado.

El comando 'conectar' es particularmente importante, ya que indica al bot que cree una conexión a un servidor de backconnect a través del puerto 1074/TCP.

Una vez conectado a la infraestructura controlada por los actores de amenazas, el dispositivo comprometido se transforma en un servidor proxy que puede comercializarse entre otros actores de amenazas. Al vincularse al servidor de backconnect, utiliza parámetros de campo específicos para determinar la dirección IP, la contraseña del proxy y una lista de puertos restringidos. Estos parámetros garantizan que solo los bots de la lista permitida con las credenciales de inicio de sesión adecuadas puedan interactuar con los servidores de control, frustrando eficazmente los intentos no autorizados.

La botnet Socks5Systemz se vende a varios niveles de precios

Solo en octubre de 2023, los analistas documentaron un total de 10.000 intentos de comunicación únicos a través del puerto 1074/TCP con los servidores de backconnect identificados. Estos intentos corresponden a un número igual de víctimas. La distribución de estas víctimas es generalizada y algo aleatoria y se extiende por todo el mundo. Sin embargo, países como India, Estados Unidos, Brasil, Colombia, Sudáfrica, Argentina y Nigeria tienen las tasas de infección más altas registradas.

El acceso a los servicios de proxy de Socks5Systemz está disponible a través de dos niveles de suscripción, conocidos como "Estándar" y "VIP". Los clientes realizan pagos a través de la pasarela de pago anónima 'Cryptomus'.

Los suscriptores deben especificar la dirección IP desde la que se origina el tráfico proxy para poder ser incluidos en la lista de permitidos del bot. Los suscriptores estándar están limitados a un solo subproceso y un tipo de proxy, mientras que los usuarios VIP disfrutan de la flexibilidad de usar de 100 a 5000 subprocesos y pueden seleccionar entre los tipos de proxy SOCKS4, SOCKS5 o HTTP.

Las botnets proxy residenciales representan un negocio lucrativo con un impacto sustancial en la seguridad de Internet y el consumo no autorizado de ancho de banda. Estos servicios se utilizan comúnmente para fines como ejecutar robots de compras y eludir restricciones geográficas, lo que los hace excepcionalmente populares.