Специалисты компании Sophos рассказали об интересном случае, который им довелось наблюдать. В ходе мониторинга различных хакерских форумов исследователи заметили пользователя, скрывавшегося под ником Pahan (он же Pahan12, Pahan123 или Pahann), который распространял различную малварь. Как оказалось, он выкладывал различные хакерские инструменты в открытый доступ вовсе не по душевной доброте. Pahan умышленно заражал чужую малварь кейлоггерами и троянами и «охотился» на других хакеров.

Ни для кого не секрет, что хакерские ресурсы всех мастей существуют не только в даркнете, но в обычном интернете. На таких сайтах  и форумах публика обменивается опытом, обсуждает не слишком легальные инструменты  и техники атак (как правило, под пристальным наблюдением правоохранительных органов, ведь ресурсы доступны в поиске Google и любому желающему).

Именно на таком ресурсе (LeakForums) специалисты компании Sophos впервые заметили пользователя pahan12, который предлагал всем желающим приобрести у него троян удаленного доступа SLICK RAT. Как показал последующий анализ, желающие получить SLICK RAT в итоге сами оказывались заражены малварью KeyBase, которую pahan12 поместил в код. KeyBase похищал пароли неудачливых хакеров и отсылал на сайт злоумышленника. Эксперты уверены, что это не совпадение, так как ссылка содержала текст «pahan123». Исследователи полагают, что затем злоумышленник использовал украденные учетные данные от аккаунтов на различных хакерских форумах для повышения собственной репутации.

Заинтересовавшись данным случаем, эксперты продолжили расследование и вскоре обнаружили, что Pahan занимается не только распространением SLICK RAT и действует не только на вышеозначенном ресурсе.

Оказалось, что еще в ноябре 2015 года Pahan распространял инструмент Aegis Crypter, предназначенный для обфускации кода и сокрытия малвари от антивирусов. Но версия злоумышленника включала в себя и «недокументированный» троян RxBot. Еще один случай датирован мартом 2016 года, под ником Pahann злоумышленник продавал одну из версий кейлоггера KeyBase, который заражал покупателей малварью COM Surrogate, а затем троянами RxBot и Cyborg.

Наиболее недавняя активность хакера была обнаружена на уже упомянутом выше LeakForums, распространением SLICK RAT злоумышленник занялся в июне 2016 года.

Эксперты пишут, что нельзя точно определить, сколько именно человек пострадало от атак Pahan, но отмечают, что среди воров определенно нет чести.

Оставить мнение