Usuario alemán esparce el gusano Houdini en Pastebin

29/05/2017

Un usuario de Alemania con el psudonimo Vicswors Baghdad parece estar detrás de la propagación del malware Houdini en sitios de Pastebin, así como de editar una variante de ransomware de código abierto llamado MoWare H.F.D. 

De acuerdo con el analista de Recorded Future, Daniel Hatheway, ha habido tres distintos repuntes en scripts maliciosos de Visual Basic (VBScript) publicados en sitios Pastebin, la mayoría de los cuales se trata del gusano Houdini. Apareció por primera vez en el 2013 y fue actualizado en 2016; las últimas actualizaciones fueron en agosto y octubre, y en marzo de este año.

“Quienes reutilizan el gusano Houdini, actualizan frecuentemente sus servidores de control”, dijo Hatheway en un análisis. “El script se comunica con el servidor de control definido dentro del script. Entonces se copia a sí mismo en un directorio y establece persistencia creando una llave de registro en una de las locaciones de inicio”

En total, Recorded Future descubrió 213 post maliciosos en sitios de Pastebin, encuadrando 105 subdominios bajo un solo dominio, con 190 hashes. Los dominios y subdominios son de un proveedor de DNS dinámicos, pero ya que todos los scripts de Houdini fueron publicados desde cuentas invitadas, la atribución es difícil.

Sin embargo, la compañía fue capaz de recolectar información de un dominio, microsofit[.]net. Alguien llamado Mohammed Raad registró el dominio usando el correo vicswordbaghddad@gmail.com, con el país de registro listado como Alemania; y algunos de los subdominios parecían ser creados por alguien usando una combinación de ese nombre.

Más adelante, una búsqueda de Google revelo un perfil de Facebook con información idéntica a la del registro del dominio; el perfil indica que Mohammed Raad es parte de Anonymous Alemania, y usa Vicswors Baghdad como alias.

El perfil de Facebook muestra también conversaciones recientes pertinentes al ransomware MoWare H.F.D.

“Parece que están estudiando, probando y posiblemente configurando un ransomware”, dijo Hatheway. “El ransomware que se está configurando, es una versión de código abierto disponible comentando en un video en YouTube del creador. Una cuenta, Vicswors Baghdad, comentó, preguntando donde podía encontrar el archivo para descargarlo, a lo cual el desarrollador respondió que se le enviaría un mensaje privado. La cuenta Vicswors Baghdad usa la misma cuenta de correo con la que se registró microsofit[.]net”