Киберпреступный сервис GhostSocks: от начального доступа до резидентских прокси

История развития сервиса началась 15 октября 2023 года, когда неизвестный под псевдонимом GhostSocks разместил на русскоязычном киберпреступном форуме xss[.]is предложение о продаже одноименного продукта. В посте подробно описывались возможности новой платформы, включая создание сборок и управление прокси-серверами. Активность разработчиков сопровождалась регулярными обновлениями и отзывами клиентов, что свидетельствовало о постоянном развитии проекта.

Переломный момент в распространении GhostSocks наступил в феврале 2024 года после объявления о партнерстве с Lumma Stealer. Эта интеграция позволила клиентам Lumma устанавливать GhostSocks для кражи пользовательских данных, обеспечивая дополнительную монетизацию скомпрометированных устройств даже после первоначального заражения. Особый интерес к сервису проявила группа вымогателей BlackBasta, о чем свидетельствуют утекшие журналы переписки за февраль 2025 года. В обсуждениях подчеркивалась ценность поддержания долгосрочного доступа к сетям с использованием комбинации GhostSocks и Lumma Stealer.

Технический анализ показывает, что GhostSocks предоставляет клиентам возможность создания 32-битных DLL-библиотек или исполняемых файлов, написанных на языке Golang. Для усложнения анализа кода используется проект garble с открытым исходным кодом, который скрывает строки и символы. Расшифровка этих строк происходит во время выполнения через специальную процедуру дешифрования.

Особенностью GhostSocks является отсутствие механизмов постоянства в системе - программа ориентирована исключительно на реализацию функциональности SOCKS5. При запуске создается мьютекс "start to run", предотвращающий одновременный запуск нескольких экземпляров. Процесс инициализации включает поиск и расшифровку конфигурации релейных серверов, причем сначала проверяется временная папка %TEMP%, а при отсутствии файла конфигурации используется резервный встроенный вариант.

После успешного подключения к одному из серверов GhostSocks случайным образом генерирует логин и пароль, которые передаются на командный сервер через HTTP-запрос. При успешной регистрации (статус 200) устанавливается SOCKS5-соединение с использованием библиотек go-socks5 и yamux с открытым исходным кодом.

Несмотря на изъятие инфраструктуры LummaStealer и форума XSS правоохранительными органами, GhostSocks продолжает функционировать. Разработчики поддерживают платформу, вредоносное программное обеспечение и каналы поддержки, хотя их присутствие на новом форуме XSS прекратилось. Мотивы этого решения остаются неясными для экспертного сообщества.

Для защиты от угроз, связанных с GhostSocks, специалисты рекомендуют физическим лицам избегать установки непроверенного программного обеспечения, поскольку сервис зависит от других вредоносных программ для первоначального доступа. Организациям следует блокировать известные релейные серверы GhostSocks и тщательно отслеживать SOCKS5-трафик. Критически важно не доверять автоматически IP-адресам из резидентских сетей, поскольку злоумышленники активно используют скомпрометированные устройства для обхода систем безопасности.

Эксперты отмечают, что хотя GhostSocks не представляет принципиально новых технических решений, его растущая популярность подчеркивает тревожную тенденцию к двойной виктимизации в киберпространстве. Скомпрометированные устройства часто попадают в специализированные магазины прокси, где доступ к ним продается по цене от 0,50 доллара в день, создавая устойчивую экосистему киберпреступности.

IPv4

147.45.196.157

46.8.232.106

46.8.236.61

86.54.24.25

91.142.74.33

91.212.166.9

91.212.166.91

SHA256

b4709cfb8f9cf0eaabe16ab218d60a0e64c3fa568d42fcac51f867e1d2cdc1fe

cda5f18be615ad27e0477c6d249d245d368ac1de81ee48239a3e39814345c04d

f52fa1b8be929a42aafab8f0a80932e52b949ee35498f22b6d58e5e6ed107b99