🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Eabia đã đăng ký tín nhiệm. 🔥                    🔥 Cục thông tin khoa học và công nghệ quốc gia đã đăng ký tín nhiệm. 🔥                    🔥 UBND huyện Cư Mgar, tỉnh Đắk Lắk đã đăng ký tín nhiệm. 🔥                   

Botnet proxy Socks5Systemz lây nhiễm 10.000 thiết bị trên toàn thế giới

08/11/2023

Một mạng botnet proxy có tên 'Socks5Systemz' đã lây nhiễm vào khoảng 10.000 thiết bị trên toàn thế giới thông qua phần mềm độc hại 'PrivateLoader' và 'Amadey'.

Phần mềm độc hại lây nhiễm vào máy tính và biến chúng trở thành Forward proxy cho các lưu lượng độc hại, bất hợp pháp hoặc ẩn danh. Mạng botnet này sau đó được bán cho những người đăng ký với giá từ 1 đến 140 đô la mỗi ngày bằng tiền điện tử.

Báo cáo của BitSight trình bày chi tiết về Socks5Systemz, cho biết botnet proxy này đã xuất hiện ít nhất từ năm 2016 nhưng ít gây chú ý cho đến gần đây.

Socks5Systemz

Bot Socks5Systemz được phát tán thông qua phần mềm độc hại PrivateLoader và Amadey, thường lây lan qua các chiến dịch lừa đảo, công cụ khai thác, quảng cáo độc hại, tệp bị nhiễm trojan,…

Các mẫu (sample) mà BitSight phát hiện, được đặt tên là 'previewer.exe', được thiết kế để tải proxy bot vào bộ nhớ của máy chủ và thiết lập khả năng duy trì truy cập lâu dài cho nó thông qua dịch vụ 'ContentDWSvc' của Windows.

Payload bot proxy là một tệp DLL 32-bit 300 KB. Nó sử dụng hệ thống thuật toán tạo tên miền (DGA) để kết nối với máy chủ điều khiển tấn công (C2) và gửi thông tin hồ sơ của máy bị nhiễm.

Sau khi được kết nối với cơ sở hạ tầng của kẻ đe dọa, thiết bị bị nhiễm bị lạm dụng như một máy chủ proxy và được bán cho các tác nhân đe dọa khác.

Khi kết nối với máy chủ C2, nó sử dụng các trường thông tin xác định địa chỉ IP, mật khẩu proxy, danh sách các cổng (port) bị chặn,… Các tham số này đảm bảo rằng chỉ các bot trong danh sách cho phép và có thông tin xác thực cần thiết mới có thể tương tác với máy chủ C2.

BitSight đã phát hiện cơ sở hạ tầng gồm 53 máy chủ proxy bot, backconnect, DNS, các máy chủ này chủ yếu được đặt ở Pháp và Châu Âu (Hà Lan, Thụy Điển, Bulgaria).

Kể từ đầu tháng 10, các nhà phân tích đã ghi nhận 10.000 nỗ lực kết nối khác nhau qua cổng 1074/TCP với các máy chủ backconnect đã được xác định, cho thấy số lượng máy nạn nhân tương đương.

Các máy nạn nhân phân bố ngẫu nhiên trên toàn cầu, trong đó Ấn Độ, Mỹ, Brazil, Colombia, Nam Phi, Argentina và Nigeria là những nơi có số lượng nạn nhân nhiều nhất.

Các botnet proxy như vậy được sử dụng để kinh doanh bất hợp pháp, dẫn đến chiếm đoạt băng thông trái phép và gây tác động đáng kể đến an ninh mạng.

Vào tháng 8, các nhà phân tích AT&T đã tiết lộ một mạng proxy bao gồm hơn 400.000 nút, trong đó người dùng Windows và macOS không hề hay biết thiết bị của họ đang bị lạm dụng để chuyển tiếp lưu lượng mạng của những người khác.

Nguồn: bleepingcomputer.com.

scrolltop