SystemBC Alimenta Rede REM Proxy com 1.500 Vítimas Diárias em 80 Servidores C2

A rede proxy REM Proxy é alimentada pelo malware SystemBC, que oferece cerca de 80% da botnet aos seus usuários, segundo descobertas da Black Lotus Labs da Lumen Technologies.

O SystemBC é um malware baseado em C que transforma computadores infectados em proxies SOCKS5, permitindo que os hosts infectados se comuniquem com servidores de comando e controle (C2) e baixem cargas úteis adicionais. Documentado pela primeira vez pela Proofpoint em 2019, é capaz de atingir sistemas Windows e Linux.

A botnet SystemBC compreende mais de 80 servidores C2 e uma média diária de 1.500 vítimas, das quais quase 80% são sistemas de servidor privado virtual (VPS) comprometidos de vários grandes provedores comerciais. Quase 40% das infecções têm tempos de vida "extremamente longos", durando mais de 31 dias.

A maioria dos servidores vitimizados foi encontrada suscetível a várias falhas de segurança conhecidas. Cada vítima tem 20 CVEs não corrigidos e pelo menos um CVE crítico em média.

Além do REM Proxy, alguns dos outros clientes do SystemBC incluem pelo menos dois serviços de proxy diferentes baseados na Rússia, um serviço de proxy vietnamita chamado VN5Socks e um serviço russo de raspagem web.

Um dos maiores casos de uso da rede ilícita é pelos próprios autores de ameaças por trás do SystemBC, que a usam para forçar credenciais de sites WordPress. O objetivo final é provavelmente vender as credências coletadas para outros atores criminosos em fóruns underground.

"O SystemBC exibiu atividade sustentada e resiliência operacional ao longo de vários anos, estabelecendo-se como um vetor persistente na landscape de ameaças cibernéticas", disse a Lumen.