新闻链接：http://www.hackbase.com/article-211815-1.html
新闻时间：2016-9-6 11:54
新闻正文：
名为“Pahan”的黑客异常偏好通过各种恶意软件感染同行黑客，想必是为了自身利益。

互联网充斥着“黑客论坛”，黑客们在这里了解黑客知识，甚至下载或购买黑客工具。

这里不是找寻高级持续威胁APT（网络间谍组织）恶意软件或漏洞利用的地方，即使最先进的杀毒引擎也难以检测APT恶意软件或漏洞利用。

在这里，普通网络罪犯兜售恶意软件，在大多数情况下，这些恶意软件被安全公司密切监视，主要是因为这些论坛可以通过Google访问。

黑客攻击黑客，意在窃取黑客工具

据Sophos称，去年，一名黑客花大量时间攻击其它黑客，几乎与攻击普通用户的频率相当。

这名黑客使用的名字包括Pahan、Pahan12、Pahan123、或Pahann。此人一直在多个黑客论坛打着各种黑客工具的广告，但Sophos发现所有这些工具均被恶意软件感染。

他的最大动机可能是发现其它黑客的活动，或试图部署键盘记录器，从而窃取密码并劫持恶意软件/僵尸网络控制面板。

这名黑客过去十个月一直未消停

Sophos报告了三起Pahan试图通过恶意软件感染黑客的三起事件。

第一起出现在地下黑客论坛的一个广告，Pahan在这个黑客论坛提供Aegis Crypter（将恶意软件从杀毒扫描器下混淆并隐藏的工具）免费下载途径。据Sophos称，这个工具被RxBot木马感染。

第二起事件发生在2016年3月，当时Pahan（使用Pahann昵称）兜售KeyBase键盘记录器，通过COM Surrogate恶意软件感染买家，之后再次下载RxBot（将计算机束缚在僵尸网络内的木马）。

第三起事件发生在2016年7月，Pahan在LeakForums上使用“Pahan12”名称提供免费版的PHP RAT（远程访问木马）—SLICK RAT。 Sophos研究人员Gabor Szapannos表示，SLICK RAT通过KeyBase键盘记录器感染受害者，KeyBase收集密码并将数据返回给Pahan。

尚不清楚有多少黑客被Pahan恶意软件感染，但就最近发布的Revenge RAT而言，如今，黑客预料到他们从这类论坛下载的黑客工具也许会部署后门，因此，通常在安装前会执行代码审计。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课