Сотни постов с кодом червя Houdini обнаружили на paste-сайтах

Исследователи компании Recorded Future обнаружили всплеск активности малвари Houdini (она же H-Worm), существующей с 2013 года. Аналитики пишут, что ответственность за вредоносную активность лежит на хакере, который известен под именем Мохаммед Раад (Mohammed Raad) в Facebook, а также под псевдонимом Vicswors Baghdad, согласно его профилям Twitter, Google+ и YouTube.

Как уже было сказано выше, малварь Houdini впервые была обнаружена еще в 2013 году, это RAT, основанный на VBScript. Именно основное тело малвари, то есть файлы VBScript, Vicswors Baghdad решил хранить на различных paste-сайтах, начиная с PasteBin. Очевидно, Раад не догадывался, что исследователи регулярно проверяют такие ресурсы в поисках подозрительной активности и интересных дампов. Так, от внимания специалистов Recorded Future не укрылось, что число публикуемых VBScript на paste-сайтах резко возросло, и они решили разобраться, в чем дело.

Суммарно аналитики обнаружили 213 постов и три пика активности, датированные августом и октябрем 2016 года, а также мартом 2017 года. Большинство найденных файлов VBScript оказались связаны с Houdini. Исследователи пишут, что Раад, по всей видимости, загружал VBScript на paste-сайты, откуда их скачивали зараженные машины, чтобы позже связаться с управляющим сервером. Таким образом малварь закреплялась в системе, копируя себя в директорию на жестком диске и прописываясь в реестр.

Пытаясь понять, кто стоит за этой вредоносной кампанией, специалисты решили изучить URL управляющих серверов, найденные в скриптах Houdini. Так им удалось идентифицировать 105 поддоменов провайдеров динамического DNS (ddns.net, no-ip.com и так далее), а также один обычный домен. Этот домен (microsofit.net) был зарегистрирован на имя Мохаммеда Раада из Германии, и аналитики поняли, что остальные 105 поддоменов также являлись производными от его имени, к примеру, mohammadx47.ddns.net или mohamedsaeed.ddns.net.

После этого не составило большого труда найти Раада в социальных сетях. Там исследователи выяснили, что хакер причисляет себя к Anonymous и в настоящее время увлечен разработкой вымогателя MoWare H.F.D, исходными кодами которого с ним, судя по всему, недавно поделился автор вредоноса.

Стоит отметить, что в конце прошлой недели специалисты Recorded Future разоблачили еще одного злоумышленника, известного как Leo или wzLeonardo, тоже заливавшего файлы VBScript на paste-сайты. Исследователи установили, что хакер базируется в Бразилии или Тунисе и распространяет там образом малварь njRAT.

Нравится3
Комментарии
    B
    i
    u
    Спойлер