
Una botnet maliciosa llamada Calcetines5Systemz está impulsando un servicio de proxy llamado PROXY.AM, según nuevos hallazgos de Bitsight.
“El malware y los servicios proxy permiten otros tipos de actividad delictiva añadiendo capas incontroladas de anonimato a los actores de la amenaza, para que puedan realizar todo tipo de actividad maliciosa utilizando cadenas de sistemas de víctimas”, dijo el equipo de investigación de seguridad de la compañía. dicho en un análisis publicado la semana pasada.
La divulgación se produce apenas unas semanas después de que el equipo de Black Lotus Labs en Lumen Technologies revelara que se está abusando de los sistemas comprometidos por otro malware conocido como Ngioweb como servidores proxy residenciales para NSOCKS.
Socks5Systemz, originalmente anunciado en el mundo del cibercrimen en marzo de 2013, fue documentado previamente por BitSight como parte de ataques cibernéticos dirigidos a la distribución de PrivateLoader, SmokeLoader y Amadey.
El objetivo principal del malware es convertir los sistemas comprometidos en nodos de salida proxy, que luego se anuncian para otros actores, normalmente ciberdelincuentes que buscan ocultar el origen de sus ataques. El servicio de proxy ilegal existe desde 2016.
Los principales países con el mayor número de huéspedes infectados son India, Indonesia, Ucrania, Argelia, Vietnam, Rusia, Turquía, Brasil, México, Pakistán, Tailandia, Filipinas, Colombia, Egipto, Estados Unidos, Argentina, Bangladesh, Marruecos. y Nigeria.
En enero de 2024, se dice que el tamaño de la botnet se había disparado hasta alcanzar un promedio diario de alrededor de 250.000 máquinas, aunque las estimaciones actuales la sitúan entre 85.000 y 100.000. Al momento de escribir este artículo, PROXY.AM afirma que tiene 80,888 nodos proxy disponibles en 31 países diferentes.
“En diciembre de 2023, el actor de amenazas perdió el control de Socks5Systemz V1 y tuvo que reconstruir la botnet desde cero con una versión completamente diferente. [command-and-control] infraestructura, que llamamos botnet Socks5Systemz V2”, dijo Bitsight, explicando las razones de la disminución.
“Debido a que los cargadores (como Privateloader, SmokeLoader o Amadey) que persisten en el sistema eliminan Socks5Systemz, se utilizaron nuevas campañas de distribución para reemplazar infecciones antiguas con nuevas cargas útiles”.
PROXY.AM (proxy[.]soy y proxyam[.]one) se comercializa como una oferta de “servidores proxy de élite, privados y anónimos” por entre $126/mes (Paquete ilimitado) y $700/mes (Paquete VIP).
La divulgación sigue a un informe de Trend Micro que detalla los intentos continuos de los actores de amenazas de atacar servidores Docker Remote API mal configurados con el malware botnet Gafgyt para ayudar a realizar ataques distribuidos de denegación de servicio (DDoS) contra objetivos de interés.
Si bien Gafgyt tiene un historial de apuntar a dispositivos IoT vulnerables, la explotación por parte del malware de contraseñas SSH débiles e instancias Docker indica una ampliación de su alcance.
“Nos dimos cuenta de que los atacantes apuntaban a servidores API remotos Docker mal configurados y expuestos públicamente para implementar el malware creando un contenedor Docker basado en una imagen Docker ‘alpina’ legítima”, dijo el investigador de seguridad Sunil Bharti. dicho. “Junto con la implementación del malware Gafgyt, los atacantes utilizaron el malware botnet Gafgyt para infectar a la víctima”.
Las configuraciones erróneas de la nube han demostrado ser una superficie de ataque atractiva para los actores de amenazas que buscan implementar mineros de criptomonedas, robar datos y incorporarlos a botnets para ataques DDoS.
Según un nuevo análisis empírico realizado por un grupo de investigadores de la Universidad de Leiden y TU Delft, se encontraron hasta 215 instancias que exponían credenciales confidenciales que podrían otorgar a los atacantes acceso no autorizado a servicios como bases de datos, infraestructura de nube y API de terceros.
La mayoría de los casos se ubicaron en Estados Unidos, India, Australia, Gran Bretaña, Brasil y Corea del Sur, y abarcaron varios sectores como tecnología de la información (TI), comercio minorista, finanzas, educación, medios y atención médica.
“Los hallazgos subrayan la necesidad apremiante de una mejor administración del sistema y una supervisión atenta para evitar fugas de datos”, dijo el equipo de Modat. dicho. “El impacto de la filtración de estos secretos puede ser inmenso, desde el control total de la infraestructura de seguridad de las organizaciones hasta la suplantación de identidad y la infiltración en una infraestructura de nube protegida”.






