Botnet proksi bernama ‘Socks5Systemz’ telah menginfeksi komputer di seluruh dunia melalui pemuat malware ‘PrivateLoader’ dan ‘Amadey’, saat ini terdapat 10.000 perangkat yang terinfeksi. Malware ini menginfeksi komputer dan mengubahnya menjadi proxy penerusan lalu lintas untuk lalu lintas berbahaya, ilegal, atau anonim. Ia menjual layanan ini kepada pelanggan yang membayar antara $1 dan $140 per hari dalam kripto untuk mengaksesnya.
Akses ke layanan proksi Socks5Systemz dijual dalam dua tingkatan langganan, yaitu ‘Standar’ dan ‘VIP’, yang mana pelanggan membayar melalui gateway pembayaran anonim (tanpa KYC) ‘Cryptomus.’ Pelanggan dapat menggunakan proxy untuk menyembunyikan alamat IP mereka dan terlibat dalam aktivitas ilegal, seperti serangan DDoS, spam, dan phishing. Kemampuan utama malware ini adalah mengubah sistem yang terinfeksi menjadi proxy, yang kemudian digunakan untuk meneruskan lalu lintas ke pelanggan.
Laporan BitSight menyoroti infrastruktur botnet, korban, dan layanan proxy yang dibangun di atasnya. Malware ini menginfeksi komputer dan mengubahnya menjadi proxy penerusan lalu lintas untuk lalu lintas berbahaya, ilegal, atau anonim. Ia menjual layanan ini kepada pelanggan yang membayar antara $1 dan $140 per hari dalam kripto untuk mengaksesnya. Botnet didistribusikan oleh malware PrivateLoader dan Amadey, yang sering disebarkan melalui phishing, eksploitasi kit, malvertizing, trojanized executable yang diunduh dari jaringan P2P, dll. Distribusi geografisnya jarang dan acak, mencakup seluruh dunia, tetapi India, Amerika Negara bagian, Brasil, Kolombia, Afrika Selatan, Argentina, dan Nigeria merupakan negara dengan jumlah infeksi terbanyak.
Socks5Systemz
Bot Socks5Systemz adalah botnet proxy yang didistribusikan oleh malware PrivateLoader dan Amadey. Pemuat malware ini sering kali menyebar melalui phishing, eksploitasi kit, malvertisasi, file executable trojan yang diunduh dari jaringan P2P, dan metode lainnya. Sampel yang dilihat oleh BitSight diberi nama ‘previewer.exe’, dan tugasnya adalah menyuntikkan bot proxy ke memori host dan membangun persistensinya melalui layanan Windows yang disebut ‘ContentDWSvc.’ Payload bot proksi adalah DLL 32-bit 300 KB. Ia menggunakan sistem algoritma pembuatan domain (DGA) untuk terhubung dengan server perintah dan kontrol (C2) dan mengirim info profil pada mesin yang terinfeksi.
Botnet Socks5Systemz telah ada setidaknya sejak tahun 2016, tetapi masih relatif kurang terdeteksi hingga saat ini. Laporan BitSight menyoroti infrastruktur botnet, korban, dan layanan proxy yang dibangun di atasnya. Distribusi geografisnya jarang dan acak, mencakup seluruh dunia, tetapi India, Amerika Serikat, Brasil, Kolombia, Afrika Selatan, Argentina, dan Nigeria merupakan negara dengan infeksi terbanyak.
Malware ini didistribusikan oleh malware PrivateLoader dan Amadey, yang sering menyebar melalui phishing, eksploitasi kit, malvertizing, trojanized executable yang diunduh dari jaringan P2P, dll. Sampel yang dilihat oleh BitSight diberi nama ‘previewer.exe’, dan tugas mereka adalah untuk menyuntikkan bot proxy ke memori host dan membangun persistensinya melalui layanan Windows yang disebut ‘ContentDWSvc.’ Payload bot proksi adalah DLL 32-bit 300 KB. Ia menggunakan sistem algoritma pembuatan domain (DGA) untuk terhubung dengan server perintah dan kontrol (C2) dan mengirim info profil pada mesin yang terinfeksi.
Sebagai reaksinya, C2 memiliki kemampuan untuk mengeluarkan berbagai perintah untuk dieksekusi, termasuk:
- Menganggur: Tidak mengambil tindakan apa pun.
- Connect: Membuat koneksi dengan server backconnect.
- Putuskan: Memutuskan koneksi ke server koneksi belakang.
- Pembaruan: Perbarui daftar alamat IP yang diizinkan untuk mengirimkan lalu lintas.
- Upduris: Perintah ini saat ini tidak diterapkan
Perintah connect sangat penting karena mengarahkan bot untuk memulai koneksi ke server backconnect melalui port 1074/TCP.
Setelah ditautkan ke infrastruktur pelaku kejahatan, perangkat yang disusupi dapat berfungsi sebagai server proxy dan mungkin ditawarkan untuk dijual kepada pelaku ancaman lainnya.
Saat menyambung ke server backconnect, bot Socks5Systemz menggunakan kolom yang menentukan alamat IP, kata sandi proksi, daftar port yang diblokir, dll. Parameter kolom ini memastikan bahwa hanya bot dalam daftar yang diizinkan dan dengan kredensial login yang diperlukan yang dapat berinteraksi dengan server kontrol , memblokir upaya yang tidak sah. Bot membuat koneksi server backconnect melalui port 1074/TCP, yang memungkinkan perangkat yang terinfeksi digunakan sebagai server proxy dan dijual ke pelaku ancaman lainnya.
Dampak bisnis ilegal
BitSight telah memetakan infrastruktur kontrol ekstensif dari 53 bot proxy, backconnect, DNS, dan server akuisisi alamat yang berlokasi terutama di Perancis dan di seluruh Eropa (Belanda, Swedia, Bulgaria). Sejak awal bulan Oktober, para analis mencatat 10.000 upaya komunikasi berbeda melalui port 1074/TCP dengan server backconnect yang teridentifikasi, yang menunjukkan jumlah korban yang sama. Distribusi geografisnya jarang dan acak, mencakup seluruh dunia, tetapi India, Amerika Serikat, Brasil, Kolombia, Afrika Selatan, Argentina, dan Nigeria merupakan negara dengan infeksi terbanyak.
Akses ke layanan proksi Socks5Systemz dijual dalam dua tingkatan langganan, yaitu ‘Standar’ dan ‘VIP’, yang mana pelanggan membayar melalui gateway pembayaran anonim (tanpa KYC) ‘Cryptomus.’ Pelanggan harus menyatakan alamat IP asal lalu lintas yang diproksi untuk ditambahkan ke daftar bot yang diizinkan. Pelanggan standar dibatasi pada satu thread dan jenis proxy, sedangkan pengguna VIP dapat menggunakan 100-5000 thread dan mengatur jenis proxy ke SOCKS4, SOCKS5, atau HTTP. Harga untuk setiap penawaran layanan diberikan di bawah ini.
Penggunaan layanan proxy bukanlah hal baru, dan telah dieksploitasi oleh pelaku ancaman untuk melakukan berbagai jenis aktivitas jahat. SOCKS5 adalah protokol internet yang menukar paket jaringan antara klien dan server melalui server proxy. SOCKS5 secara opsional menyediakan otentikasi. Proksi SOCKS baru-baru ini dimanipulasi oleh pelaku ancaman untuk melakukan berbagai jenis serangan, seperti serangan penolakan layanan terdistribusi (DDoS) untuk layanan sewa. Botnet Gwmndy juga menyalahgunakan server proxy SOCKS. Di bawah ini adalah harga untuk setiap penawaran layanan:
Botnet proxy perumahan adalah bisnis menguntungkan yang memiliki dampak signifikan terhadap keamanan internet dan pembajakan bandwidth tidak sah. Layanan ini biasanya digunakan untuk bot belanja dan melewati pembatasan geografis, menjadikannya sangat populer. Pada bulan Agustus, analis AT&T mengungkapkan jaringan proxy ekstensif yang terdiri dari lebih dari 400.000 node, di mana pengguna Windows dan MacOS yang tidak sadar bertindak sebagai node keluar yang menyalurkan lalu lintas internet orang lain.
Botnet Socks5Systemz telah ada setidaknya sejak tahun 2016, tetapi masih relatif kurang terdeteksi hingga saat ini. Laporan BitSight menyoroti infrastruktur botnet, korban, dan layanan proxy yang dibangun di atasnya. Malware ini menginfeksi komputer dan mengubahnya menjadi proxy penerusan lalu lintas untuk lalu lintas berbahaya, ilegal, atau anonim. Ia menjual layanan ini kepada pelanggan yang membayar antara $1 dan $140 per hari dalam kripto untuk mengaksesnya.
Sumber :
https://www.bleepingcomputer.com/news/security/socks5systemz-proxy-service-infects-10-000-systems-worldwide/
https://www.bitsight.com/blog/unveiling-socks5systemz-rise-new-proxy-service-privateloader-and-amadey
https://www.linkedin.com/posts/mekatz_mylobot-investigating-a-proxy-botnet-activity-7030897693115731968-OT85
https://cyber.vumetric.com/security-news/2023/11/05/socks5systemz-proxy-service-infects-10000-systems-worldwide/
https://krebsonsecurity.com/2023/07/who-and-what-is-behind-the-malware-proxy-service-socksescort/
https://www.securonix.com/securonix-threat-research-lab
https://securityintelligence.com/articles/what-is-socks-proxy-exploit/
https://www.zscaler.com/blogs/security-research/dreambus-botnet-technical-analysis
https://en.wikipedia.org/wiki/SOCKS