Tác giả malware dùng Skype ID giống nhau để chạy IoT Botnet và ứng tuyển việc làm

Đúng là thất bại lớn nhất mọi thời đại, một nhà phát triển malware sử dụng cùng một địa chỉ Skype để quảng cáo IoT botnet của mình và cũng chính ID Skype đó để ứng tuyển công việc tự do.

Biệt danh DadyL33T, nhà phát triển này là người đứng sau DaddyHackingTeam, ngôi nhà của một botnet tương lai sắp được ra mắt. Hiện vẫn đang trong giai đoạn phát triển nhưng website này cũng đã chứa một số mã nguồn của các biến thể mã độc bị rò rỉ trong vài năm qua.

DaddyL33T sẽ không phải là hacker thực sự nếu anh không có một tài khoản trên HackForums. Tài khoản này được đăng kí dưới tên DaddyPvP và hầu hết các bài đăng của anh đều là hỏi nhờ giúp đỡ hoặc giới thiệu botnet của mình.

Hầu hết những người muốn thành hacker trên HackForums đều vô hại nhưng DaddyL33T dường như lại có kỹ năng, ít nhất là đủ để botnet của anh có thể hoạt động được.

Người đứng sau botnet lai QBot-Gr1n IoT

Nhà nghiên cứu tại NewSky Security Ankit Anubhav đã theo dõi botnet của DaddyL33T, dường như là phiên bản có chỉnh sửa của botnet QBot. Trên HackForums, DaddyL33T cũng hỏi một số vấn đề về QBot.

DaddyL33T hỏi về QBot trên HackForum
DaddyL33T hỏi về QBot trên HackForum

Nhà nghiên cứu cho biết botnet của DaddyL33T sử dụng tập tin nhị phân đã được dùng trong quá trình lây nhiễm từ DaddyHackingTeam. Trò chuyện riêng với DaddyL33T qua Skype, Anubhav cho biết DaddyL33T thừa nhận botnet của anh đang cố lây nhiễm khoảng 300 thiết bị, con số rất nhỏ so với các botnet IoT khác.

Mã nguồn trên DaddyHackingTeam
Mã nguồn trên DaddyHackingTeam

Khi phân tích mẫu QBot, Anubhav cũng tìm được nhiều điểm tương đồng với malware Gr1n IoT, cũng được dùng để tạo IoT botnet. Nên dường như botnet của DaddyL33t cũng chỉ là sản phẩm sao chép.

DaddyL33T là một cậu nhóc 13 tuổi

Điều này, anh đã thừa nhận trong cuộc nói chuyện riêng với Anubhav. Việc thiếu kinh nghiệm phát triển malware và OpSec là rất rõ ràng khi Anubhav nói rằng anh tìm thấy đơn ứng tuyển việc trên trang tìm việc tự do, nơi DaddyL33T sử dụng chính địa chỉ Skype mà anh đã dùng để quảng cáo botnet của mình. Trong đó, anh cũng nói rằng mình 13 tuổi, đúng như đã thú nhận với Anubhv.

Đơn ứng tuyển việc làm tự do của DaddyL33T
Đơn ứng tuyển việc làm tự do của DaddyL33T

Thứ Năm, 07/09/2017 17:04
31 👨 322
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng