Podle nových zjištění společnosti Bitsight pohání škodlivý botnet nazvaný Socks5Systemz proxy službu s názvem PROXY.AM.
„Proxy malware a služby umožňují jiné typy kriminálních aktivit, přidávají nekontrolované vrstvy anonymity pro útočníky, kteří tak mohou provádět různé škodlivé aktivity pomocí řetězců napadených systémů,“ uvedl bezpečnostní tým společnosti v analýze zveřejněné minulý týden.
Toto odhalení přichází jen několik týdnů poté, co tým Black Lotus Labs společnosti Lumen Technologies odhalil, že systémy napadené jiným malwarem známým jako Ngioweb jsou zneužívány jako rezidenční proxy servery pro NSOCKS.
Socks5Systemz, který byl původně inzerován v kyberzločineckém podsvětí již v březnu 2013, byl dříve dokumentován společností Bitsight jako součást kybernetických útoků zaměřených na distribuci malwaru PrivateLoader, SmokeLoader a Amadey.
Hlavním cílem tohoto malwaru je přeměnit napadené systémy na výstupní proxy uzly, které jsou poté nabízeny dalším aktérům, obvykle kyberzločincům, kteří chtějí zakrýt zdroj svých útoků. Tato nelegální proxy služba existuje od roku 2016.
Mezi země s největším počtem napadených hostitelů patří Indie, Indonésie, Ukrajina, Alžírsko, Vietnam, Rusko, Turecko, Brazílie, Mexiko, Pákistán, Thajsko, Filipíny, Kolumbie, Egypt, Spojené státy, Argentina, Bangladéš, Maroko a Nigérie.
Do ledna 2024 se velikost botnetu údajně rozrostla na denní průměr přibližně 250 000, ačkoli současné odhady ji uvádějí mezi 85 000 a 100 000. K datu psaní tohoto článku PROXY.AM tvrdí, že má k dispozici 80 888 proxy uzlů z 31 různých zemí.
„V prosinci 2023 ztratil útočník kontrolu nad Socks5Systemz V1 a musel botnet kompletně přestavět s úplně jinou infrastrukturou [command-and-control] — což nazýváme botnet Socks5Systemz V2,“ uvedla společnost Bitsight a vysvětlila důvody poklesu.
„Protože Socks5Systemz je šířen prostřednictvím loaderů (jako jsou Privateloader, SmokeLoader nebo Amadey), které přetrvávají v systému, byly použity nové distribuční kampaně k nahrazení starých infekcí novými payloady.“
Zdroj: thehackernews
Zdroj: IT SECURITY NETWORK NEWS
Zdroj: ICT NETWORK NEWS