Pesquisadores detectaram um renascimento do malware SystemBC que hoje coordena uma botnet com mais de 10.000 hosts comprometidos, incluindo servidores de provedores — mudança que amplia o impacto e o tempo médio de persistência intrusiva.
O que foi identificado
A análise, citada por pesquisadores da Silent Push e relatada por veículos especializados, aponta que a família SystemBC — originalmente conhecida por transformar máquinas em proxies SOCKS5 e backdoors — agora controla uma infraestrutura com mais de 10.000 dispositivos. A maior parte dos alvos está concentrada em provedores de hospedagem, o que facilita o uso desses ativos para mascarar tráfego e sustentar atividades de comando e controle.
Arquitetura e mudanças táticas
Historicamente, o SystemBC utilizava uma arquitetura de "backconnect" que permitia redirecionar C2 por meio de vítimas para dificultar rastreamento. A novidade, segundo o relatório, é a migração do foco de redes residenciais para servidores de provedores e hospedagem, aumentando a resiliência e o tempo de permanência das infeções: média de 38 dias, com casos ultrapassando 100 dias.
Variant detection evasion
Os pesquisadores também identificaram uma variante inédita escrita em Perl que inicialmente apresentou detecção muito baixa nos mecanismos de antivírus. Essa variante é frequentemente alocada por droppers ELF (SafeObject, StringHash) e empacotada com UPX para dificultar análise estática. A presença de strings em russo e artefatos no código do dropper foi mencionada como pista potencial sobre a origem do operador.
Uso operacional e riscos associados
- O botnet atua como infraestrutura para operações subsequentes: lançamento de DDoS, proxying de tráfego malicioso e preparação para intrusões maiores (exfiltração e ransomware).
- Ativos hospedados em servidores governamentais foram relatados como comprometidos em concentrações altas — o que eleva o risco ao incluir ambientes sensíveis.
- Comprometimento de provedores facilita ataques em escala por fornecer largura de banda e infraestrutura mais estável que máquinas residenciais.
Recomendações práticas
Equipes de defesa devem priorizar:
- Monitoramento de tráfego de saída e detecção de proxies SOCKS5 inesperados nos servidores;
- Verificação de processos e binários persistentes, especialmente scripts em Perl e artefatos empacotados com UPX;
- Bloqueio de conexões com indicadores de C2 conhecidos (quando disponíveis) e segmentação de redes de hospedagem;
- Auditoria de contas e chaves usadas para administração de servidores, e revisão de backups e snapshots para possível contenção e restauração.
O que falta e próximos passos
Relatos agregados descrevem o escopo e técnicas, mas há necessidade de compartilhamento de IOCs e amostras para permitir bloqueio automatizado em maior escala. Provedores afetados e pesquisadores devem priorizar divulgação coordenada de indicadores e playbooks de contenção.
Fonte: Cyber Security News (com referência a Silent Push)