'PrivateLoader'와 'Amadey' 악성 코드 로더를 통해 전 세계 컴퓨터를 감염시키는 프록시 봇넷 'Socks5Systemz'가 발견되었습니다. 이 봇넷은 컴퓨터를 감염시켜 악의적이거나 불법적인 트래픽을 전달하는 프록시로 변환하며, 이 서비스를 암호화폐로 결제하는 구독자에게 판매합니다. BitSight의 보고서에 따르면, 이 프록시 봇넷은 2016년 이후로 존재했지만 최근까지 상대적으로 주목받지 못했습니다.

'Socks5Systemz' 봇은 'PrivateLoader'와 'Amadey' 악성 코드에 의해 분배되며, 이들은 주로 피싱, 악용 키트, 악의적 광고, P2P 네트워크에서 다운로드된 트로이 목마화된 실행 파일 등을 통해 확산됩니다. BitSight가 본 샘플들은 'previewer.exe'라는 이름이며, 이들의 역할은 프록시 봇을 호스트의 메모리에 주입하고 'ContentDWSvc'라는 윈도우 서비스를 통해 이를 유지하는 것입니다.

BitSight는 프랑스와 네덜란드, 스웨덴, 불가리아 등 유럽 전역에 위치한 53개의 프록시 봇, 백커넥트, DNS, 주소 획득 서버로 구성된 광범위한 제어 인프라를 매핑했습니다. 10월 초부터 분석가들은 백커넥트 서버와 1074/TCP 포트를 통한 10,000건의 통신 시도를 기록했으며, 이는 피해자 수와 동일합니다.

요약

- 'Socks5Systemz'는 'PrivateLoader'와 'Amadey' 악성 코드 로더를 통해 컴퓨터를 감염시키는 프록시 봇넷이다.
- 이 봇넷은 컴퓨터를 악의적이거나 불법적인 트래픽을 전달하는 프록시로 변환하며, 이 서비스를 암호화폐로 결제하는 구독자에게 판매한다.
- BitSight는 프랑스와 네덜란드, 스웨덴, 불가리아 등 유럽 전역에 위치한 53개의 프록시 봇, 백커넥트, DNS, 주소 획득 서버로 구성된 광범위한 제어 인프라를 매핑했다.

Reference

https://www.bleepingcomputer.com/news/security/socks5systemz-proxy-service-infects-10-000-systems-worldwide/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*