Немецкий хакер под псевдонимом Vicswors Baghdad ответственен за распространения червя Houdini через сайты Pastebin. По данным исследователей Recorded Future, он же является автором вымогательского ПО с открытым исходным кодом MoWare H.F.D.
Эксперты зафиксировали на сайтах Pastebin три всплеска публикаций вредоносных скриптов на языке Visual Basic в августе и октябре прошлого и в марте нынешнего года. Большинство из них предназначались для распространения червя Houdini. В общей сложности были обнаружены 213 публикаций вредоносных скриптов, связанных с одним доменом и 105 поддоменами.
Домен и поддомены были предоставлены провайдером динамических DNS. Исследователи не смогли отследить их владельца, поскольку злоумышленник публиковал скрипты, используя гостевые учетные записи. Тем не менее, им удалось узнать, кто зарегистрировал домен microsofit[.]net. Это оказался некий Мохаммед Раад (Mohammed Raad) с электронным адресом vicsworsbaghdad@gmail[.]com в Германии.
Исследователи обнаружили принадлежащую Рааду страницу в Facebook, где указаны тот же адрес и страна. Согласно информации профиля, Раад является участником немецкого крыла Anonymous и использует псевдоним Vicswors Baghdad.
Houdini (другое название H-Worm) – троян для удаленного доступа (RAT), написанный на языке Visual Basic и предназначенный для получения контроля над инфицированным компьютером. Вредонос представляет собой серьезное, мощное ПО, используемое в атаках на международные предприятия энергетического сектора. Houdini появился в 2013 году, а в 2016 году была выпущена его обновленная версия. Распространяется с помощью спама.
Динамический DNS –технология, позволяющая информации на DNS-сервере обновляться в реальном времени и по желанию в автоматическом режиме. Применяется для назначения постоянного доменного имени устройству с динамическим IP-адресом.