Компания BitSight обнаружила новую крупную ботнет-сеть под названием Socks5Systemz, которая заразила около 10 000 устройств. Вредоносными загрузчиками стали PrivateLoader и Amadey. На официальном сайте компании специалисты по кибербезопасности сообщили: «Этот образец устанавливал прокси-бота на зараженные системы, превращая их в прокси, способные перенаправлять трафик для кого-то другого».
Содержание
Как работает ботнет
Прокси-бот использует алгоритм генерации доменов для связи с сервером управления и контроля. Он может отправлять различные команды (подключение и отключение от сервера, обновление списка разрешенных IP-адресов и другие). Сеть была запущена ещё в 2016 году, но об интернет-атаках стало известно только сейчас.
Когда устройство подключается к программе злоумышленников, оно становится доступным для использования в качестве прокси-сервера, который затем продается другим киберпреступникам.
ПО действует через фишинг, вредоносную рекламу, загрузку вирусных файлов и иные каналы распространения. Прокси-сервис позволяет клиентам выбирать подписку в размере от 1 до 4000 долларов США с полной оплатой в криптовалюте.
Область воздействия
С начала октября было обнаружено около 10 000 систем, которые обменивались данными через порт 1074/TCP с серверами обратного подключения.
По данным BitSight, первыми жертвами Socks5Systemz стали Индия, Бразилия, Колумбия, Южная Африка, Бангладеш, Аргентина, Ангола, США, Суринам и Нигерия. В России зараженных систем не было обнаружено.
Заключение
Будьте осторожны и следите за актуальными новостями на сайте diasp.pro.
