Código HTML do Conteúdo
Post: O malware SystemBC transforma sistemas VPS infectados em uma rodovia proxy
<div>
<div>
<p>Os operadores do botnet proxy SystemBC estão procurando servidores virtuais privados (VPS) comerciais vulneráveis e mantêm uma média de 1.500 bots todos os dias que fornecem uma rodovia para tráfego malicioso.</p>
<p>Os servidores comprometidos estão localizados em todo o mundo e têm pelo menos uma vulnerabilidade crítica não corrigida, alguns deles sendo atormentados por dezenas de problemas de segurança.</p>
<p>O SystemBC existe desde pelo menos 2019 e tem sido usado por vários agentes de ameaças, incluindo várias gangues de ransomware, <a href="https://www.bleepingcomputer.com/news/security/ransomware-gangs-automate-payload-delivery-with-systembc-malware/" rel="nofollow noopener" target="_blank">para entregar cargas úteis</a>.</p>
<p>Ele permite que os invasores roteiem o tráfego mal-intencionado pelo host infectado e ocultem a atividade de comando e controle (C2) para dificultar a detecção.</p>
<h3>Clientes da SystemBC</h3>
<p>De acordo com pesquisadores do Black Lotus Labs da Lumen Technology, a rede proxy SystemBC é construída para volume, com pouca preocupação com furtividade. Ele também alimenta outras redes de proxy criminosas e tem “tempos médios de infecção extremamente longos”.</p>
<p>Com base nas descobertas dos pesquisadores, nem os clientes nem os operadores do SystemBC se preocupam em manter um perfil discreto, uma vez que os endereços IP dos bots não são protegidos de forma alguma (por exemplo, por meio de ofuscação ou rotação).</p>
<p>O SystemBC tem mais de 80 servidores de comando e controle (C2), que conectam clientes a um servidor proxy infectado e alimentam outros serviços de rede proxy.</p>
<p>Um serviço malicioso chamado REM Proxy depende de cerca de 80% dos bots do SystemBC, fornecendo serviços em camadas a seus clientes, dependendo da qualidade do proxy necessária.</p>
<p>Um grande serviço russo de raspagem da web é outro cliente significativo do SystemBC, juntamente com uma rede proxy baseada no Vietnã chamada VN5Socks ou Shopsocks5.</p>
<div>
<p><img decoding="async" alt="Serviços de proxy cibercriminosos usando a rede SystemBC" height="315" src="https://datalake.azaeo.com/wp-content/uploads/2025/09/SystemBC_clients_BLL.jpg" width="900 /></div>
<p>However, the researchers say that SystemBC operators make the most use of it to brute-force WordPress credentials that are likely sold to brokers who inject sites with malicious code.</p>
<h3>Targeting vulnerable VPSs</h3>
<p>Almost 80% of the SystemBC network of 1,500 daily bots consists of compromised VPS systems from multiple “large commercial providers.”</p>
<p>Black Lotus Labs says that this allows for a longer-than-average infection lifespan, with nearly 40% of the systems staying compromised for more than a month.</p>
<p style="><img loading="lazy" decoding="async" alt="O malware SystemBC transforma sistemas VPS infectados em uma rodovia proxy" height="331" src="https://datalake.azaeo.com/wp-content/uploads/2025/09/SystemBC_bots_infection_BLL.jpg" width="900"></p>
<p>Todos os servidores infectados têm várias vulnerabilidades “fáceis de explorar”, sendo a média de 20 problemas de segurança não corrigidos e pelo menos um de gravidade crítica.</p>
<p>Os pesquisadores também encontraram um sistema no Alabama, que a plataforma de inteligência de internet e o mecanismo de busca Censys listaram como tendo 161 vulnerabilidades de segurança.</p>
<div>
<p><img loading="lazy" decoding="async" alt="O malware SystemBC transforma sistemas VPS infectados em uma rodovia proxy" height="385" src="https://datalake.azaeo.com/wp-content/uploads/2025/09/SystemBC_bot_infected-BLL.jpg" width="900">relatório compartilhado com o BleepingComputer.</p>
<p>Com base na telemetria IP global da empresa, um endereço, 104.250.164[.]214, parece estar no centro da atividade de recrutamento de vítimas e também hospeda todas as 180 amostras de malware SystemBC.</p>
<p>De acordo com a análise dos pesquisadores, um servidor recém-infectado baixa um script de shell, que tem comentários em russo e direciona o bot para executar todas as amostras do SystemBC ao mesmo tempo.</p>
<p>A rede proxy está ativa há muito tempo e resistiu até mesmo a operações de aplicação da lei, como <a href="https://www.bleepingcomputer.com/news/security/police-takes-down-300-servers-in-ransomware-supply-chain-crackdown/" rel="nofollow noopener" target="_blank">Endgame</a>, que visava os droppers de malware para vários botnets, incluindo SystemBC.</p>
<p>O Black Lotus Labs fornece uma análise técnica detalhada do malware proxy SystemBC, juntamente com indicadores de comprometimento, para ajudar as organizações a identificar tentativas de comprometimento ou interromper a operação.</p>
</div>
</div>
<div>
<div>
<h5><a href="https://www.bleepingcomputer.com/author/ionut-ilascu/" target="_blank">Ionut Ilascu</a> <span> <a aria-label="Email ionut@bleepingcomputer.com" href="https://www.bleepingcomputer.com/news/security/systembc-malware-turns-infected-vps-systems-into-proxy-highway/mailto:ionut@bleepingcomputer.com" target="_blank"><i aria-hidden="true" title="Email ionut@bleepingcomputer.com"></i></a> <a aria-label="Open Author's twitter page" href="https://twitter.com/Ionut_Ilascu" rel="noopener" target="_blank"><i aria-hidden="true" title="Open Author's twitter page"></i></a></span></h5>
<p> Ionut Ilascu é um escritor de tecnologia com foco em todas as coisas de segurança cibernética. Os tópicos sobre os quais ele escreve incluem malware, vulnerabilidades, exploits e defesas de segurança, bem como pesquisa e inovação em segurança da informação. Seu trabalho foi publicado pela Bitdefender, Netgear, The Security Ledger e Softpedia.
</p>
</div>
</div>
<h3>Você também pode gostar:</h3>
</div></div>