Новое вредоносное ПО Windows устанавливает прокси для скрытия вредоносного сетевого трафика Proofpoint

Вредоносная программа SystemBC была впервые обнаружена в действии в мае этого года.

SystemBC написан на C и распространяется как часть эксплойтов

  • Созданные SystemBC прокси используются для сокрытия вредоносного трафика
  • Он рекламируется на подпольных форумах по киберпреступности
  • Прокси затрудняют его обнаружение с помощью определения границы сети

Обнаружено новое вредоносное ПО для компьютеров Windows. Дублируемая как SystemBC, вредоносная программа устанавливает прокси-серверы SOCKS5 на зараженные машины и использует их для распространения второго вредоносного ПО. По словам исследователей, новое вредоносное ПО рекламируется авторами на подпольных форумах по киберпреступности. Он также распространяется как часть комплектов эксплойтов Fallout и RIG. Наборы эксплойтов (EK) — это веб-системы, использующие уязвимости на основе браузера для установки вредоносных программ или отправки пользователей на вредоносные веб-страницы, которые вынуждают их устанавливать вредоносные программы.

«SystemBC — ранее недокументированное вредоносное ПО, которое мы недавно обнаружили в качестве полезной нагрузки в кампаниях RIG и Fallout Exploit Kit (EK)», — пишут исследователи из Proofpoint в своем блоге. Хотя активность EK остается довольно низкой по сравнению с пиковым значением в начале 2016 года, они остаются важными векторами для распространения вредоносных программ, особенно в регионах, где распространено пиратство Windows.

Согласно отчету ZDNet, SystemBC по сути является прокси-компонентом по требованию для операторов вредоносных программ, который они могут развернуть на скомпрометированных системах, чтобы скрыть вредоносный трафик.

«Основная роль SystemBC заключается в создании прокси-сервера SOCKS5, через который другие вредоносные программы могут создавать туннель для обхода локальных брандмауэров, обхода фильтров интернет-контента или подключения к своему серверу управления и контроля без раскрытия своего реального IP-адреса», — пишет ZDNet. ,

Вредоносная программа была впервые обнаружена в сети в мае; однако его создатели рекламировали его с апреля.

Исследователи Proofpoint считают, что присутствие вредоносного прокси-сервера, созданного вредоносной программой SystemBC, затруднит обнаружение с помощью обнаружения границы сети. Он рекомендует организациям обновлять свои системы последними обновлениями и избегать использования старых систем, в которых используются подключаемые модули браузера, подверженные атакам вредоносных программ и комплектам эксплойтов.

Для получения последних технических новостей и обзоров следите за Gadgets 360 в Twitter, Facebook и подпишитесь на наш канал YouTube.