Een botnet genaamd Socks5Systemz omvat zo'n 10.000 systemen en richt zich op het aanbieden van proxy-diensten. Hiermee kunnen bijvoorbeeld cybercriminelen hun verkeer omleiden via het botnet, en zo hun identiteit verbergen.

Het botnet is ontdekt door BitSight. Het malafide netwerk is al zeker sinds 2016 actief, maar is al die tijd relatief onopgemerkt gebleven. Het botnet is opgezet met behulp van een tweetal malwareloaders: PrivateLoader en Amadey. Deze malware besmet systemen, maakt hen onderdeel van het botnet en zet de systemen om in proxy-servers die dataverkeer doorzetten. De beheerders van het botnet bieden met behulp van hun botnet betaalde diensten aan. Zo betalen gebruikers een bedrag dat varieert van 1 tot 140 dollar per dag voor toegang tot het botnet.

Servers in meerdere landen

De command & control (C&C)-infrastructuur van het botnet maakt gebruik van servers verspreid over de EU. Het gaat daarbij met name om servers in Frankrijk, al maken ook servers in Bulgarije, Zweden en Nederland onderdeel uit van Socks5Systemz.

BitSight analyseerde het gedrag van het netwerk afgelopen maand. Hierbij zijn in totaal zo'n 10.000 individuele pogingen om met geïdentificeerde aan het botnet verbonden servers te benaderen. Op basis hiervan concludeert BitSight dat zeker zo'n 10.000 systemen onderdeel uitmaken van het botnet. De aanvallers maken slachtoffers over de hele wereld; systemen uit Argentinië, Brazilië, Colombia, India, Nigeria, de Verenigde Staten en Zuid-Korea zijn het vaakst onderdeel van Socks5Systemz.