Аналитики компании Bitsight сообщают, что за работой прокси-сервиса PROXY[.]AM стоит ботнет Socks5Systemz, размеры которого сейчас составляют от 85 000 до 100 000 зараженных устройств.

«Прокси-малварь и прокси-сервисы позволяют осуществлять различные виды преступной деятельности, добавляя злоумышленникам новые уровни анонимности, благодаря которым те могут совершать всевозможные вредоносные действия, скрываясь за системами жертв», — пишут исследователи.

По словам экспертов, Socks5Systemz рекламировался на хакерских форумах еще в 2013 году, и ранее исследователи связывали этот ботнет такими вредоносами, как PrivateLoader, SmokeLoader и Amadey.

Старая реклама Socks5Systemz

Основная задача малвари Socks5Systemz заключается в превращении взломанных систем в прокси, которые затем продаются другим киберпреступникам, желающим скрыть источники своих атак. Отмечается, что сервис PROXY[.]AM тоже существует уже давно — с 2016 года.

В настоящее время в число стран с наибольшим количеством зараженных хостов входят Индия, Индонезия, Украина, Алжир, Вьетнам, Россия, Турция, Бразилия, Мексика, Пакистан, Таиланд, Филиппины, Колумбия, Египет, США, Аргентина, Бангладеш, Марокко и Нигерия.

Интересно, что по состоянию на январь 2024 года размер ботнета увеличился до 250 000 зараженных машин, но по текущим оценкам составляет от 85 000 до 100 000 хостов. Так, в настоящее время операторы PROXY[.]AM утверждают, что их сервис может предложить клиентам 80 888 прокси из 31 страны мира.

Отмечается, что ботнет, состоящий из 250 000 активных ежедневно устройств, по современным меркам является огромным. Для сравнения: нашумевший в прошлом Andromeda в среднем насчитывал 2 млн ботов, хотя работал по совершенно другой бизнес-модели. А похожие на Socks5Systemz прокси-вредоносы обычно демонстрируют средние показатели от 15 000 до 50 000 ботов в день.

Количество активных ботов Socks5Systemz

«В декабре 2023 года злоумышленники потеряли контроль над Socks5Systemz V1 и были вынуждены перестроить свой ботнет с нуля, с совершенно другой управляющей инфраструктурой, которую мы называем ботнетом Socks5Systemz V2, — объясняют в Bitsight. —  Поскольку Socks5Systemz распространяется с помощью загрузчиков (таких как Privateloader, SmokeLoader или Amadey), которые надежно закрепляются в системе, в рамках новых кампаний по распространению старые заражения были обновлены новыми полезными нагрузками».

По словам исследователей, в настоящее время сервис PROXY[.]AM (он же proxyam[.]one) предлагает своим клиентам «элитные, приватные и анонимные прокси» по цене от 126 долларов в месяц (пакет Unlimited) до 700 долларов в месяц (пакет VIP).

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии