Windows-malware gebruikt proxies om andere malware binnen te brengen

Stay tuned, abonneer!

Onderzoekers van beveiligingsbedrijf Proofpoint hebben nieuwe malware gevonden die zich op Windows-systemen richt. Het zogeheten SystemBC installeert een proxy op een geïnfecteerde computer en probeert andere malware binnen te krijgen.

SystemBC is een on-demand proxy-component dat andere makers van malware kunnen integreren en inzetten op getroffen computers, naast hun primaire malware, schrijft ZDNet.

Het belangrijkste doel van de nu ontdekte malware is om een SOCKS5-proxy server op te zetten, waar andere malware een tunnel door kan maken om lokale firewalls en contentfilters te omzeilen. Ook kan de het verbinding maken met een command-and-control server via de proxy, zonder dat het echte IP-adres bekend wordt.

Advertentie voor verkoop

De onderzoekers van Proofpoint stellen dat ze een advertentie vonden op een hacking-forum. De advertentie was voor malware waar de naam niet van genoemd werd. Later bleek dat SystemBC te zijn. De advertentie verscheen in april, ongeveer een maand voordat de SystemBC in mei voor het eerst online gezien werd.

De advertentie toont afbeeldingen van de backend van SystemBC. Via die backend kunnen andere cybercriminelen actieve installaties invoeren, de malware op computers van gebruikers kunnen updaten of de IP te configureren via waar het verkeer van geïnfecteerd hosts omleid.

Verspreiding

SystemBC werd in eerste instantie alleen in een paar geïsoleerde campagnes gespot. De onderzoekers stellen nu echter dat ze het in de afgelopen twee maanden verspreid hebben zien worden via exploit-kits als RIG en Fallout. Dergelijke kits gebruiken kwetsbaarheden in browsers om computers te infecteren.

De operators van de banking-trojan DanaBot en de Maze-ransomware bleken bijvoorbeeld exploit kits te hebben gebruikt om hosts te infecteren, waarna SystemBC werd gebruikt om via de proxy-mogelijkheden het malafide verkeer te verbergen.

Precies vanwege die mogelijkheden wordt SystemBC waarschijnlijk alleen maar populairder Proofpoint stelt daarnaast dat het voor nieuwe uitdagingen zorgt voor “verdedigers die vertrouwen op detecties aan de rand van netwerk om dreigingen als banking-trojans te onderscheppen en vernietigen”.