Một botnet độc hại mang tên Socks5Systemz đang cung cấp dịch vụ proxy bất hợp pháp có tên PROXY.AM.

Botnet này sử dụng proxy malware để biến các thiết bị bị xâm nhập thành các proxy exit nodes. Những proxy này sau đó được sử dụng bởi các tội phạm mạng để che giấu nguồn gốc của các cuộc tấn công. 

Socks5Systemz lần đầu được phát hiện trên các chợ đen của tội phạm mạng từ tháng 3/2013. Từ đó, nó đã được sử dụng trong các cuộc tấn công mạng liên quan đến PrivateLoader, SmokeLoader, và Amadey. Mục tiêu chính của malware này là chuyển đổi hệ thống bị xâm nhập thành các proxy được quảng cáo cho các tội phạm mạng.

Dịch vụ proxy bất hợp pháp này hoạt động từ năm 2016. Theo báo cáo, vào tháng 1/2024, botnet này có trung bình khoảng 250.000 thiết bị bị xâm nhập mỗi ngày, tuy nhiên, con số hiện tại ước tính còn từ 85.000 đến 100.000 thiết bị.

Các quốc gia có thiết bị bị nhiễm nhiều nhất là Ấn Độ, Indonesia, Ukraine, Algeria, Việt Nam, Nga, Thổ Nhĩ Kỳ, Brazil, Mexico, Pakistan, Thái Lan, Philippines, Colombia, Ai Cập, Hoa Kỳ, Argentina, Bangladesh, Morocco và Nigeria.

Socks5Systemz V1, phiên bản đầu tiên, đã bị mất quyền kiểm soát vào tháng 12/2023, buộc kẻ tấn công phải xây dựng lại hệ thống thành Socks5Systemz V2 với hạ tầng điều khiển hoàn toàn mới. Việc giảm quy mô botnet cũng xuất phát từ các chiến dịch mới, thay thế các payload cũ bằng các biến thể mới.

Hiện tại, PROXY.AM tuyên bố có 80.888 proxy tại 31 quốc gia, với các gói dịch vụ dao động từ 126 USD/tháng (gói không giới hạn) đến 700 USD/tháng (gói VIP).

Để giảm thiểu rủi ro từ các mối đe dọa, các tổ chức cần:

• Cấu hình lại hệ thống đám mây và các API để tránh lộ thông tin nhạy cảm.
• Kiểm tra định kỳ các thiết bị IoT và hệ thống mạng.
• Sử dụng mật khẩu mạnh và cập nhật các hệ thống bảo mật thường xuyên.
• Giám sát chặt chẽ các tài khoản và cơ sở dữ liệu để phát hiện các dấu hiệu bất thường.

Nguồn: The Hacker News