Эксперты по кибербезопасности, в частности из Bitsight, вновь обратили свое внимание на ботнет Socks5Systemz. Они выяснили, почему эта вредоносная сеть оставалась незамеченной на протяжении 10 лет и только в 2023 году приобрела «медийность». О нем мы уже писали ранее.
Этот ботнет предзаначен для создания сети из зараженных систем и использования их в качестве анонимных прокси, а затем сдачи их в аренду, чтобы другие злоумышленники могли скрывать свои атаки в сети. Стоимость аренды анонимности составляет от 126 долларов до 700 долларов в месяц.
Операция «кооперация» — с Andromeda и Smokeloader
Ботнет Socks5Systemz активен с 2013 года, и о нем ничего не было известно до 2023 года. Вот пример с объявлением на одном из теневых форумов о продаже пользователем BaTHNK SOCKS5 backconnect system (от 2013 года):

Эксперты задались вопросом, почему же семейство вредоносных программ, существующее уже более десяти лет, только недавно получило широкое распространение? Ответ может содержаться в одном комментарии в той же теме, где пользователь Ar3s (владелец ботнета Andromeda, который был арестован в Беларуси в 2017 году) предоставил положительный отзыв о вредоносном ПО и возможности BaTHNK настраивать вредонос в соответствии с потребностями клиентов.
После этого положительного отзыва BaTHNK адаптировал вредоносное ПО для использования в качестве прокси-модуля SOCKS5 в Andromeda, а несколько недель спустя добавил поддержку Smokeloader. То есть сперва эта вредоносная программа продавалась злоумышленниками как самостоятельный продукт, а затем была интегрирована в другие вредоносные программы в качестве прокси-модуля SOCKS5. К таким вредоносам относились Andromeda, Smokeloader и Trickbot.
Использование Socks5Systemz в качестве прокси-модуля в составе других вредоносных программ может объяснить отсутствие упоминаний о нем до ноября 2023 года. Вероятно, он действовал незаметно, был обнаружен как часть других вредоносных программ и не привлек внимания киберзащитного сообщества.
Цифровая армия в 250 тыс. машин
Кибермошенники распространяют вредонос через такие загрузчики, как Privateloader, SmokeLoader и Amadey. Основными странами с наибольшим количеством зараженных устройств на текущий момент являются Индия, Индонезия, Украина, Алжир и Вьетнам.
В январе 2024 года в ботнет входило порядка 250 тысяч активных устройств. Это одна из самых крупных вредоносных сетей во всем мире, действующих на текущий момент. Для сравнения в аналогичных прокси-ботнетах ежедневно свою активность проявляют в среднем от 15 до 50 тысяч ботов.
Прокси-ботнеты и сервисы имеют высокий спрос, поскольку позволяют злоумышленникам скрывать свои действия в сети: мошенничество с рекламой, генерация фальшивого трафика, DDoS-атаки и др. Они добавляют уровни анонимности субъектам угрозы, при которых эксплуатируются системы и устройства сторонних пользователей.

Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.