ربات Socks۵Systemz توسط بدافزار PrivateLoader و Amadey توزیع میشود که اغلب از طریق فیشینگ، کیتهای بهرهبرداری، آلوده سازی فایلها با بدافزار، فایلهای اجرایی آلوده شده به تروجان دانلود شده و از شبکههای P۲P و غیره منتشر میشوند. نمونههایی که توسط BitSight مشاهده میشوند «previewer.exe» نام دارند و وظیفه آنها تزریق ربات پراکسی به حافظه میزبان و ایجاد پایداری برای آن از طریق یک سرویس ویندوز به نام «ContentDWSvc» است.
انتهای پیام
منبع خبر: https://www.isna.ir/news/1402082014072/%D9%87%D8%B4%D8%AF%D8%A7%D8%B1-%D8%AF%D8%B1%D8%A8%D8%A7%D8%B1%D9%87-%D8%A8%D8%AF%D8%A7%D9%81%D8%B2%D8%A7%D8%B1-%D9%BE%D9%86%D9%87%D8%A7%D9%86%DB%8C-%DA%A9%D9%87-%D9%81%D8%B9%D8%A7%D9%84%DB%8C%D8%AA-%D8%BA%DB%8C%D8%B1%D9%82%D8%A7%D9%86%D9%88%D9%86%DB%8C-%D8%A7%D9%86%D8%AC%D8%A7%D9%85-%D9%85%DB%8C-%D8%AF%D9%87%D8%AF
ظهور این بدافزار جدید جعلی بهروزرسانی Google Chrome یادآور این است که ارتقاء مرورگرها با استفاده از رویههای استاندارد از اهمیت بالایی برخوردار است بنابراین کارشناسان به کاربران توصیه میکنند که به طور مرتب بر افزونهها و تمهای مورد استفاده در سایتهای خود نظارت کنند؛ همچنین پشتیبانگیری منظم از وبسایتها و پیادهسازی صحیح پیکربندیهای فایروال جهت جلوگیری از حملات بدافزارهایی مانند FakeUpdateRU بسیار مهم است.
مشترکین استاندارد به یک رشته و نوع پراکسی محدود می شوند، در حالی که کاربران VIP میتوانند از ۱۰۰-۵۰۰۰ رشته استفاده کنند و نوع پروکسی را روی SOCKS۴، SOCKS۵ یا HTTP تنظیم کنند.
در همین راستا اخیرا اعلام شده باتنتی به نام Socks۵Systemz دهها هزار سیستم را آلوده کرده است؛ این بدافزار پس از آلوده کرده سیستم، به صورت پنهانی از آن به عنوان proxy استفاده کرده و فعالیتهای غیرقانونی و مخربی انجام میدهد.
درباره جزئیات این موضوع میتوان گفت، این بدافزار رایانهها را آلوده و آنها را به پراکسیهای انتقال ترافیک جهت ایجاد ترافیک مخرب، غیرقانونی یا ناشناس تبدیل میکند. این سرویس را به مشترکینی میفروشد که برای دسترسی به آن بین ۱ تا ۱۴۰ دلار در روز به صورت رمزنگاری پرداخت میکنند. در گزارش منتشر شده توسط BitSight، باتنت Socks۵Systemz دست کم از سال ۲۰۱۶ فعالیت داشته است.
یک زیرساخت کنترل گسترده از ۵۳ ربات پراکسی، بککانکت، DNS و سرورهای کسب آدرس را که عمدتاً در فرانسه و در سراسر اروپا (هلند، سوئد، بلغارستان) واقع شدهاند، ترسیم کرد. براساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای(ماهر) از آغاز ماه اکتبر، تحلیلگران ۱۰۰۰۰ تلاش ارتباطی متمایز بر روی پورت ۱۰۷۴/TCP با سرورهای بککانکت شناسایی شده را ثبت کردند که نشان دهنده تعداد مساوی قربانیان است. دسترسی به خدمات پراکسی Socks۵Systemz در دو سطح اشتراک، یعنی “Standard” و “VIP” فروخته میشود که مشتریان از طریق درگاه پرداخت ناشناس (بدون KYC) “Cryptomus” پرداخت میکنند. مشترکین باید آدرس IP را که ترافیک پروکسی از آنجا منشأ میگیرد، اعلام کنند تا به لیست مجاز ربات اضافه شود.
به گزارش ایسنا، بدافزارها شامل نرمافزارهای جاسوسی و یا برنامههای تبلیغاتی مزاحم مانند ردیابی کوکیها است که به ردیابی علاقهمندیهای کاربران در رایانه میپردازند. واژه بدافزار کوتاه شده نرمافزار مخرب (malicious software) است. این واژه اصطلاحی عمومی برای توصیف همه ویروسها، کرمها، جاسوسافزارها و تقریباً هر چیزی که به طور خاص برای صدمه به رایانه و یا سرقت اطلاعات طراحی شده است.
دستور اتصال بسیار مهم است و به ربات دستور میدهد تا یک اتصال سرور پشتیبان را از طریق پورت ۱۰۷۴/TCP برقرار کند. پس از اتصال به زیرساخت، دستگاه آلوده اکنون میتواند به عنوان یک سرور پروکسی استفاده شود و به سایرین فروخته شود. هنگام اتصال به سرور backconnect، از فیلدیهایی استفاده میکند که آدرس IP، رمز عبور پروکسی، لیست پورتهای مسدود شده و غیره را تعیین میکنند. این پارامترها تضمین میکنند که فقط رباتهای موجود در لیست مجاز و با اعتبار ورود لازم میتوانند با سرورهای کنترل تعامل داشته باشند و مسدود شوند.
کارشناسان امنیتی به تازگی درباره بدافزاری هشدار دادهاند که میتواند بدافزار پس از آلوده کرده سیستم، به صورت پنهانی از آن به عنوان proxy استفاده کرده و فعالیتهای غیرقانونی و مخربی انجام دهد.
واژه ویروسهای رایانهای اغلب به جای بدافزار استفاده میشود، هرچند در واقع این دو واژه به یک معنی نیستند و در دقیقترین معنی، ویروس برنامهای است که خود را مدام تکثیر کرده و رایانه را با گسترش خود از یک فایل به فایل دیگر آلوده میکند، سپس وقتی فایلها از یک رایانه به دیگری کپی شده و بین دو یا چند رایانه به اشتراک گذاشته میشوند، از کامپیوتر آلوده به دیگران منتقل میشود و این روند همچنان ادامه پیدا میکند.
