محققان امنیت سایبری اخیراً یک بات‌نت فعال از سال 2016 به نام Socks5Systemz را کشف کرده‌اند که بالغ بر 10 هزار سیستم رایانه‌ای در سراسر جهان را آلوده کرده است. این بات‌نت از سیستم‌های آلوده به عنوان راهی برای انتقال داده‌ها به صورت پنهان استفاده کرده است.

گسترش فناوری باعث شده تا حملات سایبری به یکی از تهدیدهای رو به رشد عصر ما تبدیل شوند. گرچه اغلب شرکت‌ها و کسب‌وکارهای بزرگ همواره به دنبال افزایش سطح امنیت سایبری خود هستند، اما هر از گاهی شاهد انتشار اخباری از حوادث مرتبط با این حوزه هستیم.

در تازه‌ترین مورد، محققان حوزه امنیت سایبری از یک بات‌نت پراکسی (proxy botnet) به نام Socks5Systemz خبر داده‌اند که از طریق بارگذاری بد افزارهایی همچون PrivateLoader و Amadey  توانسته بالغ بر 10 هزار سیستم رایانه‌ای در سراسر جهان را آلوده کند.

بات نت در واقع شبکه‌ای از تجهیزات الکترونیکی هوشمند است که به بدافزارهای گوناگون آلوده شده و توسط هکرها از راه دور کنترل می‌شوند. این نوع حمله سایبری به شدت خطرناک است، چرا که کامپیوترهای آلوده هیچ کار مخربی انجام نمی‌دهند و فایل‌های کاربران نیز در امنیت کامل قرار دارد، زیرا این سامانه‌ها قرار است برای هدف بزرگ‌تری مورد استفاده قرار بگیرد. بر همین اساس، معمولاً شناسایی آن‌ها بسیار دشوار است.

حالا گزارش‌های منتشر شده نشان می‌دهد که Socks5Systemz پس از آلوده کردن رایانه کاربران آن‌ها را به پراکسی‌های انتقال ترافیک تبدیل کرده و از این راه داده‌های مخرب و غیرقانونی هکرها را به صورت ناشناس جابه‌جا می‌کند.

نکته جالب آن است که هکر از این سرویس کسب درآمد هم می‌کند، چرا که آن را با قیمت 1 تا 140 دلار در روز در اختیار افرادی قرار می‌دهد که قصد انتقال دیتا به صورت مخفی را دارند.

جزئیات مربوط به این بات‌نت خطرناک توسط محققان BitSight منتشر شده است. در گزارش مرتبط با این بات‌نت توضیح داده شده که Socks5Systemz حداقل از سال 2016 وجود داشته و توانسته تا همین اواخر خارج از رادار محققان امنیتی عمل کند.

Socks5Systemz چطور عمل می‌کند؟

ربات Socks5Systemz اغلب توسط بدافزارهای مختلف و از طریق فیشینگ، کیت‌های بهره‌برداری، بدافزارها، فایل‌های اجرایی آلوده به تروجان و غیره بر روی سیستم قربانیان کار خود را آغاز کرده و شبکه‌های P2P را آلوده می‌کند.

نمونه بررسی شده توسط BitSight یک فایل با نام previewer.exe بوده که وظیفه آن تزریق ربات پراکسی به حافظه میزبان و ایجاد پایداری از طریق یک سرویس ویندوز به نام ContentDWSvc است.

در مرحله بعد این بات‌نت از یک سیستم الگوریتم تولید دامنه (DGA) برای اتصال به سرور فرمان و کنترل (C2) و ارسال اطلاعات پروفایل روی دستگاه آلوده استفاده می کند.

منبع: شهر سخت افزار