Хакер из Германии, известный как Vicswors Baghdad, несет ответственность за распространение вредоносной программы Houdini посредством сайтов Pastebin. Как утверждают исследователи из Recorded Future, этот же человек разработал вымогательскую программу с открытым исходным кодом MoWare H.F.D.
Houdini или H-Worm – это троянская программа для удаленного доступа, написанная на языке Visual Basic. Ее задача – захват контроля над зараженным компьютером. Houdini применяется в атаках на международные энергетические компании. Вредоносная программа появилась в 2013 году, а в прошлом году создатели выпустили ее обновленную версию. Ее распространение осуществляется посредством спама.
Специалисты обнаружили на сайтах Pastebin три всплеска публикаций вредоносных скриптов, написанных с помощью языка Visual Basic: два в прошлом году (август и октябрь) и еще один в марте текущего года. В большинстве своем скрипты предназначались для того, чтобы распространять вредоносную программу Houdini. Всего было выявлено 213 публикаций вредоносных скриптов, которые связаны с одним доменом и 105 поддоменами.
Экспертам не удалось отследить владельца доменов, так как хакер размещал скрипты с помощью гостевых аккаунтов. Однако они выяснили, кто именно осуществил регистрацию домена microsofit[.]net. За этим стоит человек по имени Мохаммед Раад, на чье имя в Германии был зарегистрирован адрес электронной почты vicsworsbaghdad@gmail[.]com.
Специалисты нашли Facebook-аккаунт Раада, где указан тот же электронный адрес и страна проживания – Германия. По информации, имеющейся в профиле, Раад – член немецкого отделения кибергруппировки Anonymous, действующий под псевдонимом Vicswors Baghdad.