top of page
Buscar

Malware SystemBC compromete 1.500 vítimas diárias de VPS para alimentar a rede REM Proxy

  • Foto do escritor: Orlando Santos Cyber Security Brazil
    Orlando Santos Cyber Security Brazil
  • 22 de set.
  • 2 min de leitura

ree

A rede REM Proxy, impulsionada pelo malware SystemBC, está no centro de um grande esquema de cibercrime, transformando cerca de 1.500 servidores de VPS comprometidos diariamente em uma botnet para fins ilícitos. As descobertas recentes da equipe do Black Lotus Labs, da Lumen Technologies, revelam que a rede não apenas oferece um serviço de proxy, mas também comercializa mais de 20.000 roteadores Mikrotik e proxies abertos, tornando-se uma ferramenta versátil e perigosa para hackers.


O SystemBC, um malware baseado em C, é a espinha dorsal dessa operação. Sua principal função é converter dispositivos infectados em proxies SOCKS5, permitindo que eles se conectem a servidores de comando e controle (C2) e baixem payloads adicionais. O malware, detectado pela primeira vez em 2019, é capaz de infectar tanto sistemas Windows quanto Linux, com uma variante específica para sistemas corporativos e servidores em nuvem, conforme aponta um relatório da ANY.RUN.


A botnet do SystemBC, com mais de 80 servidores C2, é notável pela sua capacidade de comprometer sistemas de servidores virtuais privados (VPS) de grandes provedores comerciais. Cerca de 80% das vítimas diárias são VPS, com 300 delas também fazendo parte de outra botnet, a GoBruteforcer. A operação é de longa duração, com quase 40% das infecções durando mais de 31 dias. A vulnerabilidade dessas vítimas é alarmante, já que muitos dos servidores afetados possuem em média 20 CVEs sem patches, e pelo menos um CVE crítico.


A Lumen Technologies observa que o modelo do SystemBC é particularmente eficaz. Ao utilizar servidores VPS em vez de dispositivos residenciais, os hackers garantem proxies de maior volume e por períodos prolongados, permitindo que diversos grupos hackers realizem um grande volume de tráfego malicioso.


Entre os clientes do SystemBC estão serviços de proxy da Rússia e do Vietnã, além de um serviço russo de web scraping. A botnet opera com pouca discrição, focando em expandir seu volume para, entre outras atividades, realizar ataques de força bruta para obter credenciais de sites WordPress, que são posteriormente vendidas em fóruns criminosos.


Via - THN

 
 
 

Comentários

bottom of page