Специалисты по кибербезопасности из компании Bitsight раскрыли масштабную операцию ботнета Socks5Systemz, который управляет популярным прокси-сервисом PROXY.AM. По данным исследователей, в настоящее время вредоносная сеть насчитывает от 85 000 до 100 000 скомпрометированных устройств.
История и эволюция Socks5Systemz
Первые упоминания о Socks5Systemz появились на хакерских форумах еще в 2013 году. Исследователи установили связь этого ботнета с известными вредоносными программами-загрузчиками, включая PrivateLoader, SmokeLoader и Amadey. Сам прокси-сервис PROXY.AM функционирует с 2016 года, предоставляя киберпреступникам возможности для анонимизации их вредоносной деятельности.
Масштабы и географическое распространение
В начале 2024 года ботнет достигал впечатляющих размеров в 250 000 зараженных машин, что значительно превышает средние показатели подобных прокси-ориентированных вредоносных сетей (15 000 — 50 000 ботов). Наибольшая концентрация зараженных устройств наблюдается в Индии, Индонезии, Украине, Алжире, Вьетнаме, России и других развивающихся странах.
Технические особенности и бизнес-модель
Основная функция Socks5Systemz заключается в превращении инфицированных компьютеров в прокси-серверы, которые затем монетизируются через сервис PROXY.AM. Операторы предлагают клиентам доступ к более чем 80 000 прокси из 31 страны мира. Стоимость услуг варьируется от 126 долларов (пакет Unlimited) до 700 долларов в месяц (пакет VIP).
Недавняя реструктуризация ботнета
В декабре 2023 года операторы Socks5Systemz столкнулись с серьезными проблемами, потеряв контроль над первой версией ботнета. Это привело к созданию Socks5Systemz V2 с полностью обновленной инфраструктурой управления. Благодаря использованию продвинутых загрузчиков малвари, операторам удалось обновить старые заражения новыми версиями вредоносного ПО.
Масштаб и продолжительность работы Socks5Systemz демонстрируют растущую угрозу прокси-малвари в современном киберландшафте. Этот случай подчеркивает необходимость усиления мер кибербезопасности и постоянного мониторинга сетевой активности для выявления и предотвращения подобных угроз.