MIEMBRO DE HACKERS ANONYMOUS

Un miembro del colectivo de hackers Anonymous está detrás de una campaña para difundir la RAT Houdini y actualmente está estudiando el despliegue del ransomware MoWare DFH

El nombre de este "hacker" es Mohammed Raad, de acuerdo con su perfil en Facebook, también usa el nick de "vicswors Bagdad", de acuerdo a sus perfiles de Facebook, Twitter, Google+ y YouTube.

Las acciones de Raad habrían pasado desapercibidas si no se hubiera convertido en arma y comenzó a distribuir Houdini (o H-gusano) , una RAT basada en VBScript que se creó y la primera difusión en 2013. Su mayor error fue el uso de PasteBin para almacenar el RAT, un archivo VBScript.

Debido a que la firma de inteligencia y seguridad Recorded Future regularmente revisa archivos subidos a Pastebin, sus acciones fueron descubiertos a principios del mes de mayo, después de que expertos observaron un aumento general de VBScripts publicadas en los sitios en línea.

Los expertos se dieron cuenta de que la mayoría de los guiones fueron los Houdini VBScript. El análisis de los datos, se identificaron tres picos de actividad en agosto de 2016, octubre de 2016, y marzo de 2017.

Los expertos creen que un equipo infectado descargaría el VBScript desde el sitio, que más tarde se conecte a un servidor C & C y gana la persistencia en el host infectado mediante la creación de una clave de carpeta y registro local.

Raad registro un dominio C & C con su nombre real

Para encontrar más detalles sobre quién estaba detrás de este aumento de la VBScripts, los investigadores tomaron un vistazo a todas las direcciones URL del servidor C & C se encuentran dentro de los scripts de Houdini.

Esta búsqueda identificó servidores C & C alojados en 105 subdominios para proveedores de DNS dinámicos (ddns.net, no-ip.com, etc.), sino también un dominio neto clara.

Ese dominio era microsofit[.]net, la cual fue registrada por Raad. En este punto, el investigador dio cuenta de que muchos de los otros 105 subdominios DNS dinámicos fueron variaciones sobre el nombre de este actor, ya sea usando Raad o la palabra Mohammed en el nombre de subdominio (mohammadx47.ddns.net; mohamedsaeed.ddns.net; etc.).

No pasó mucho tiempo para que los investigadores encontrasen perfiles de redes sociales de Raad, donde encontraron su afiliación con el hacker Anonymous colectiva, inclinación por malware y mensajes a través de la que entró promociones para los servicios de DNS dinámico que utilizó en el servidor C & C infraestructura.

Además, se encontraron con los comentarios hechos por Raad en un vídeo de YouTube publicidad del ransomware MoWare HFD, pidiendo al autor obtener una copia del paquete de ransomware. Unos días más tarde, Raad ha publicado una imagen en Facebook que muestra el código fuente MoWare ransomware, lo que implica que recibió una copia, y actualmente estaba editando el código.

No hay evidencia de que el autor publicó su ransomware en la naturaleza. Perfiles en redes sociales de Raad sugieren que es una vida nacional iraquí en Munich, Alemania.

Otros actores que aprovechan los sitios de paste

Según los expertos Recorded Future, los autores de malware usan cada vez más sitios de paste como engranajes de sus campañas de distribución de malware.

Un día antes del informe de desenmascarar la actividad de Raad, los expertos Recorded Future descubrió la actividad de otro ladrón, que va por el nombre de Leo y wzLeonardo.

Los expertos dicen que Leo estaba utilizando un VBScript alojado en Pastebin que, al ejecutarse podria instalar el troyano de acceso remoto njRAT en el ordenador de la víctima, a la vez que la descarga de cadenas RAT cifrados cifrados almacenados en HasteBin, otro sitio de pasta. Recorded Future cree que Leo puede estar en Brasil o en Túnez.

hackers Anonymous
Fecha actualización el 2017-5-29. Fecha publicación el . Categoría: Seguridad. Autor: Mapa del sitio Fuente: bleepingcomputer