В начале октября специалистами компании BitSight был обнаружен ботнет Socks5Systemz, проявляющий активность с 2016 года. Бот-сеть заражает пользовательские устройства при помощи загрузчиков PrivateLoader и Amadey и превращает их в прокси-сервера. До недавнего времени она оставалась незамеченной. На данный момент вредоносом заражено свыше 10 тыс. устройств.
Загрузчики для доставки вредоносной начинки — PrivateLoader и Amadey — распространяются различными способами: посредством фишинга, вредоносной рекламы, наборов эксплоитов, троянов, загруженных из P2P-сетей и т. д. Скомпрометированные устройства используются для перенаправления вредоносного, анонимного и другого недействительного трафика.
В ходе исследования данного ботнета специалистами BitSight было обнаружено несколько серверов, связанных с вредоносной операцией. Также им удалось определить пользователя Telegram, который создал полноценный прокси-сервис с помощью Socks5Systemz.
Злоумышленники сдают мощности ботнета в аренду по подписке. Стоимость зависит от количества потоков и периода аренды и составляет от 1 доллара в день в криптовалюте за один поток до 4000 долларов за три месяца и 5000 потоков.
По оценкам аналитиков, в управляющую инфраструктуру ботнета Socks5Systemz входят 53 сервера для прокси-ботов, backconnect, DNS и сбор адресов, которые находятся во Франции и странах ЕС (Швеция, Нидерланды, Болгария). Больше всего от атак ботнета на данный момент пострадали Индия, США, Бразилия, Колумбия, ЮАР, Аргентина и Нигерия.