Вирусописателя вычислили из-за небрежного отношения к собственной безопасности

Как правило, вирусописатели тщательно скрывают свою личность, однако некоторые из них игнорируют собственную безопасность. Один из вирусописателей активно распространяет на русскоязычных форумах мод GTA V под названием «Арбуз» со встроенным майнером WaterMiner для добычи криптовалюты Monero. По данным исследователей из Minerva Labs, мод содержит модифицированную версию легитимного майнера XMRig – популярного у разработчиков вредоносного ПО инструмента, который ранее был замечен в ряде вредоносных кампаний.

Как выяснили эксперты, организатором кампании по распространению WaterMiner является некто под псевдонимом 0pc0d3r. Основное отличие данной операции от подобных кампаний заключается в том, что 0pc0d3r пренебрегает собственной безопасностью. В ходе расследования специалистам Minerva Labs удалось выйти на след вирусописателя, разместившего ссылки на другие созданные им игровые моды на своей странице в соцсети «ВКонтакте». Им оказался молодой россиянин по имени Антон (полное имя не раскрывается). Когда другие пользователи соцсети обвинили Антона в краже и использовании инструментов 0pc0d3r, он признался, что, собственно, и есть 0pc0d3r.

Как полагают исследователи, создатель WaterMiner разработал программу не с нуля, а просто использовал исходные коды вредоносных программ, доступные в Сети, в частности, на Pastebin. По словам соучредителя Minerva Labs Омри Мойала (Omri Moyal), изначально WaterMiner не проводил проверку окружения, но внезапно (всего за два-три дня) криптомайнер обзавелся дополнительным функционалом, например, стойкой системой присутствия, функцией, отвечающей за прекращение активности в случае проведения пользователем отладки с помощью различных приложений и пр.

0pc0d3r не первый разработчик, допустивший подобный ляп. Создатель вредоносного ПО, известный в Сети как DaddyL33T, использовал один и тот же Skype ID для рекламы услуг созданного им IoT-ботнета и поиска работы на фриланс-площадках.

Источник