Ένας hacker που χρησιμοποιεί το όνομα Pahan πραγματοποίησε ένα καταπληκτικό σερί μολύνοντας συναδέλφους του χάκερ με όλα τα είδη των malware, προφανώς για δικό του όφελος.
Το Διαδίκτυο είναι γεμάτο με «hacking forums» όπου οι άνθρωποι μπορούν να μάθουν για το hacking. Μπορούν ακόμη και να κατεβάσουν ή να αγοράσουν hacking εργαλεία.
Αυτά δεν είναι μέρη στα οποία μπορείτε να βρείτε malware και exploits που χρησιμοποιούνται από APTs (cyber-espionage) ομάδες kai που είναι δύσκολο να ανιχνευθούν ακόμη και από τις πιο ενημερωμένες μηχανές antivirus.
Αυτά είναι τα μέρη όπου κοινοί κυβερνο-εγκληματίες πλασάρουν την ύστατη προσπάθεια τους για την ανάπτυξη ενός κακόβουλου λογισμικού, η οποία, στις περισσότερες περιπτώσεις, βρίσκεται υπό στενή παρακολούθηση από τις επιχειρήσεις ασφάλειας, κυρίως επειδή αυτά τα φόρουμ είναι διαθέσιμα και μέσω της Google και είναι ορατά προς όλους.
Σύμφωνα με μια έκθεση της Sophos, πέρυσι, ένας απατεώνας είχε περάσει το μεγαλύτερο μέρος του χρόνου του στοχεύοντας άλλους hackers παράλληλα με τακτικούς χρήστες.
Χρησιμοποιώντας τα ονόματα Pahan, Pahan12, Pahan123 ή Pahann, αυτός ο χρήστης πρόσθετε διαφημίσεις για διάφορα hacking εργαλεία σε διάφορα hacking φόρουμ, αλλά η Sophos είχε ανακαλύψει ότι όλα αυτά τα εργαλεία είχαν μολυνθεί με κακόβουλο λογισμικό.
Τα πιο πιθανά κίνητρα για τις ενέργειές του είναι ότι προσπαθούσε να μάθει τι «σκάρωναν» οι υπόλοιποι hackers ή προσπαθούσε να αναπτύξει keyloggers για να κλέψει κωδικούς πρόσβασης και να πάρει τον έλεγχο των malware / botnet πινάκων ελέγχου τους.
Η Sophos αναφέρθηκε σε τρεις περιπτώσεις, όταν ο Pahan προσπάθησε να μολύνει άλλους με μολυσμένα με malware malwares.
Η πρώτη περίπτωση ανάγεται σε μια διαφήμιση σε ένα underground hacking forum, όπου ο Pahan παρείχε μια δωρεάν λήψη του Aegis Crypter, ένα εργαλείο για obfuscating και απόκρυψη των κακόβουλων προγραμμάτων από σαρωτές antivirus. Σύμφωνα με τη Sophos, το εργαλείο αυτό είχε μολυνθεί με το RxBot trojan.
Το δεύτερο περιστατικό χρονολογείται τον Μάρτιο του 2016, όταν ο Pahan (χρησιμοποιώντας το ψευδώνυμο Pahann) πωλούσε μια έκδοση του KeyBase keylogger που μόλυνε τους αγοραστές του με το COM Surrogate malware, το οποίο στη συνέχεια κατέβαζε και πάλι το RxBot, ένα Trojan που αιχμαλωτίζει τους υπολογιστές μέσα σε ένα botnet.
Το τελευταίο περιστατικό χρονολογείται τον Ιούλιο του 2016, στο LeakForums, όπου ο Pahan, χρησιμοποιώντας το όνομα Pahan12, πρόσφερε μια δωρεάν έκδοση RAT(Remote Access Trojan) με βάση την PHP, με το όνομα SLICK RAT. Ο ερευνητής της Sophos, Gabor Szapannos, λέει ότι το SLICK RAT μόλυνε τα θύματά του με το KeyBase keylogger, το οποίο συλλέγει κωδικούς πρόσβασης και στέλνει τα δεδομένα πίσω στον Pahan.
Είναι άγνωστο πόσοι επίδοξοι hackers μολύνθηκαν με το κακόβουλο λογισμικό του Pahan, αλλά όπως είδαμε με την πρόσφατη κυκλοφορία ενός RAT με το όνομα Revenge, στις μέρες μας, οι hackers αναμένουν τα εργαλεία hacking που κατεβάζουν από τέτοια φόρουμ να έχουν κάποια κερκόπορτα και συνήθως πραγματοποιούν έλεγχο του κώδικα πριν εγκαταστήσουν οτιδήποτε στους υπολογιστές τους.
