Эксперты узнали автора вредоносного ПО Houdini

Немецкий хакер под псевдонимом Vicswors Baghdad ответственен за распространения червя Houdini через сайты Pastebin. По данным исследователей Recorded Future, он же является автором вымогательского ПО с открытым исходным кодом MoWare H.F.D.

Эксперты зафиксировали на сайтах Pastebin три всплеска публикаций вредоносных скриптов на языке Visual Basic в августе и октябре прошлого и в марте нынешнего года. Большинство из них предназначались для распространения червя Houdini. В общей сложности были обнаружены 213 публикаций вредоносных скриптов, связанных с одним доменом и 105 поддоменами.

Домен и поддомены были предоставлены провайдером динамических DNS. Исследователи не смогли отследить их владельца, поскольку злоумышленник публиковал скрипты, используя гостевые учетные записи. Тем не менее, им удалось узнать, кто зарегистрировал домен microsofit[.]net. Это оказался некий Мохаммед Раад (Mohammed Raad) с электронным адресом vicsworsbaghdad@gmail[.]com в Германии.

Исследователи обнаружили принадлежащую Рааду страницу в Facebook, где указаны тот же адрес и страна. Согласно информации профиля, Раад является участником немецкого крыла Anonymous и использует псевдоним Vicswors Baghdad.

Houdini (другое название H-Worm) – троян для удаленного доступа (RAT), написанный на языке Visual Basic и предназначенный для получения контроля над инфицированным компьютером. Вредонос представляет собой серьезное, мощное ПО, используемое в атаках на международные предприятия энергетического сектора. Houdini появился в 2013 году, а в 2016 году была выпущена его обновленная версия. Распространяется с помощью спама.

Динамический DNS –технология, позволяющая информации на DNS-сервере обновляться в реальном времени и по желанию в автоматическом режиме. Применяется для назначения постоянного доменного имени устройству с динамическим IP-адресом.

Источник