Malware GhostSocks como Serviço Transforma Dispositivos Comprometidos em Proxies

BR Defense Center (By River de Morais e Silva)
malware

O GhostSocks é um novo serviço de Malware-as-a-Service (MaaS) que ganhou destaque entre cibercriminosos, permitindo que dispositivos comprometidos operem como proxies residenciais. Lançado em 15 de outubro de 2023 em um fórum russo, o GhostSocks utiliza endereços IP legítimos para redirecionar tráfego fraudulento, burlando sistemas de segurança e controle anti-fraude. A facilidade de uso e a integração com outros frameworks de malware tornaram o GhostSocks popular tanto entre fraudadores iniciantes quanto entre grupos de ransomware mais sofisticados.

O serviço é acessado por meio de um painel web que permite a criação de builds personalizadas, utilizando arquivos DLL de 32 bits ou executáveis autônomos. O malware é compilado em Go e utiliza o projeto open-source Garble para ofuscação, dificultando a análise estática. Após a execução, o GhostSocks conecta-se a servidores de comando e controle (C2) e gera uma sessão de proxy SOCKS5, transformando a máquina da vítima em um nó de proxy sob controle do atacante. A colaboração com o LummaStealer, um infostealer, ampliou ainda mais sua adoção, permitindo que dados exfiltrados fossem roteados através de proxies comprometidos. Apesar de ações de aplicação da lei, o GhostSocks continua em desenvolvimento ativo, exigindo que organizações atualizem suas políticas de firewall e monitorem tráfego SOCKS5 incomum para se protegerem contra essa ameaça emergente.

Fonte: https://cyberpress.org/ghostsocks-malware/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
03/10/2025 • Risco: ALTO
MALWARE

Malware GhostSocks como Serviço Transforma Dispositivos Comprometidos em Proxies

RESUMO EXECUTIVO
O GhostSocks representa uma ameaça significativa para a segurança cibernética, permitindo que dispositivos comprometidos sejam usados como proxies para atividades fraudulentas. A colaboração com o LummaStealer e a capacidade de redirecionar tráfego aumentam o risco de exfiltração de dados, exigindo atenção imediata dos CISOs.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a fraudes e custos de remediação.
Operacional
Redirecionamento de tráfego fraudulento e exfiltração de dados.
Setores vulneráveis
['Setores de tecnologia, finanças e serviços que dependem de dispositivos conectados à internet.']

📊 INDICADORES CHAVE

Aumento significativo no uso após parceria com LummaStealer em fevereiro de 2024. Indicador
GhostSocks é utilizado por grupos de ransomware como BlackBasta. Contexto BR
Atualizações semanais e suporte ativo em plataformas alternativas. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de firewall e tráfego SOCKS5 em busca de atividades suspeitas.
2 Atualizar políticas de firewall para bloquear conexões de saída para IPs conhecidos do GhostSocks.
3 Monitorar continuamente o tráfego de rede em busca de padrões incomuns que possam indicar a presença do GhostSocks.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a capacidade do GhostSocks de comprometer redes e facilitar a exfiltração de dados, o que pode resultar em perdas financeiras e danos à reputação.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD em caso de vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).