Sommario
Una botnet proxy chiamato “socks5systemz” sta infettando computer in tutto il mondo tramite i loader di malware “privateloader” e “amadey”, contando attualmente 10.000 dispositivi infetti. Questo malware trasforma i computer in proxy per il reindirizzamento del traffico, che può essere maligno, illegale o anonimo, e vende questo servizio a sottoscrittori che pagano tra 1 e 140 dollari al giorno in criptovaluta per accedervi.
Diffusione e tecniche di infezione
Socks5systemz viene distribuito dai malware privateloader e amadey, spesso diffusi tramite phishing, exploit kit, malvertising e file eseguibili trojanizzati scaricati da reti P2P. I campioni osservati da Bitsight sono denominati “previewer.exe” e hanno il compito di iniettare il bot proxy nella memoria dell’host e stabilire la persistenza attraverso un servizio Windows chiamato “contentdwsvc”.
Funzionamento del bot e comandi c2
Il payload del bot proxy è una DLL a 32 bit di 300 KB. Utilizza un sistema di algoritmo di generazione di domini (dga) per connettersi al suo server di comando e controllo (c2) e inviare informazioni sul profilo della macchina infetta. In risposta, il c2 può inviare vari comandi per l’esecuzione, tra cui connettersi a un server backconnect su porta 1074/TCP, disconnettersi, aggiornare l’elenco degli IP autorizzati a inviare traffico o aggiornare gli URI, anche se quest’ultima funzione non è ancora implementata.
Impatto del business illegale
Bitsight ha mappato un’ampia infrastruttura di controllo di 53 server bot proxy, backconnect, DNS e acquisizione indirizzi, situati principalmente in Francia e in tutta Europa (Paesi Bassi, Svezia, Bulgaria). Dallo scorso ottobre, gli analisti hanno registrato 10.000 tentativi di comunicazione distinti sulla porta 1074/TCP con i server backconnect identificati, indicando un numero uguale di vittime.
Distribuzione geografica e impatto
La distribuzione geografica delle infezioni è sparsa e casuale, coprendo l’intero globo, con India, Stati Uniti, Brasile, Colombia, Sud Africa, Argentina e Nigeria che contano il maggior numero di infezioni.
L’accesso ai servizi di proxying di socks5systemz è venduto in due livelli di abbonamento, “standard” e “vip”, per i quali i clienti pagano tramite il gateway di pagamento anonimo “cryptomus”.
