Botnet Chaussettes5Systemz

Un botnet proxy connu sous le nom de « Socks5Systemz » a discrètement infiltré les ordinateurs du monde entier via les chargeurs de logiciels malveillants « PrivateLoader » et « Amadey ». Actuellement, il a réussi à compromettre 10 000 appareils. Ce logiciel menaçant prend le contrôle des ordinateurs infectés, les transformant en conduits involontaires pour divers types de trafic Internet sans scrupules, illicites ou anonymes. Le botnet propose ce service aux abonnés, qui peuvent y accéder moyennant des frais allant de 1 $ à 140 $ par jour, payés en cryptomonnaie.

Les experts en cybersécurité ont découvert que le botnet proxy Socks5Systemz est opérationnel depuis au moins 2016, mais il a réussi à échapper à une attention particulière, opérant dans l'ombre.

Le botnet Socks5Systemz établit la persistance sur les systèmes infectés

Le botnet Socks5Systemz est diffusé via les logiciels malveillants PrivateLoader et Amadey, généralement propagés via divers moyens tels que le phishing, les kits d'exploitation, la publicité malveillante et les exécutables trojanisés téléchargés à partir de réseaux peer-to-peer.

Les chercheurs ont identifié des échantillons de botnet étiquetés « previewer.exe », conçus pour infiltrer la mémoire de l'hôte et établir la persistance via un service Windows nommé « ContentDWSvc ». La charge utile du robot proxy prend la forme d’une DLL 32 bits de 300 Ko. Il utilise un système d'algorithme de génération de domaine (DGA) pour se connecter à son serveur de commande et de contrôle (C2) et transmettre des informations de profilage sur la machine infectée.

En réponse, le serveur C2 peut émettre l'une des commandes suivantes pour exécution :

• • « inactif » : aucune action n'est entreprise.

• • 'connect' : établit une connexion à un serveur de backconnect.

• • 'disconnect' : coupez la connexion au serveur de backconnect.

• • 'updips' : Mettre à jour la liste des adresses IP autorisées pour l'envoi de trafic.

• • 'upduris' : Cette commande n'est pas encore implémentée.

La commande « connect » est particulièrement importante, car elle demande au robot de créer une connexion à un serveur de backconnect via le port 1074/TCP.

Une fois connecté à l’infrastructure contrôlée par les acteurs malveillants, l’appareil compromis est transformé en un serveur proxy qui peut être commercialisé auprès d’autres acteurs malveillants. Lors de la connexion au serveur de backconnect, il utilise des paramètres de champ spécifiques pour vérifier l'adresse IP, le mot de passe proxy et une liste de ports restreints. Ces paramètres garantissent que seuls les robots figurant sur la liste autorisée et disposant des informations de connexion appropriées peuvent interagir avec les serveurs de contrôle, contrecarrant ainsi les tentatives non autorisées.

Le botnet Socks5Systemz est vendu à plusieurs niveaux de prix

Rien qu'en octobre 2023, les analystes ont documenté un total de 10 000 tentatives de communication uniques via le port 1074/TCP avec les serveurs de backconnect identifiés. Ces tentatives correspondent à un nombre égal de victimes. La répartition de ces victimes est répandue et quelque peu aléatoire, s’étendant sur l’ensemble du globe. Cependant, des pays comme l’Inde, les États-Unis, le Brésil, la Colombie, l’Afrique du Sud, l’Argentine et le Nigeria ont les taux d’infection enregistrés les plus élevés.

L'accès aux services proxy de Socks5Systemz est disponible via deux niveaux d'abonnement, appelés « Standard » et « VIP ». Les clients effectuent des paiements via la passerelle de paiement anonyme « Cryptomus ».

Les abonnés doivent spécifier l'adresse IP d'où provient le trafic mandaté afin d'être inclus dans la liste verte du bot. Les abonnés standard sont limités à un seul thread et à un seul type de proxy, tandis que les utilisateurs VIP bénéficient de la flexibilité d'utiliser 100 à 5 000 threads et peuvent choisir parmi les types de proxy SOCKS4, SOCKS5 ou HTTP.

Les botnets proxy résidentiels représentent une activité lucrative avec un impact substantiel sur la sécurité Internet et la consommation non autorisée de bande passante. Ces services sont couramment utilisés à des fins telles que l'exécution de robots commerciaux et le contournement des restrictions géographiques, ce qui les rend exceptionnellement populaires.