Эксперты FireEye предполагают, что вредонос создан хакерами из России, так как работает по московскому времени и «отдыхает» в российские выходные. Специалисты компании FireEye, занимающейся защитой сетей, сообщили об обнаружении у одного из

клиентов вредоноса Hammertoss, деятельность которого маскируется необычными способами. Hammertoss ежедневно генерирует пользовательские имена, подходящие для регистрации аккаунтов Twitter. Для связи с вредоносом хозяева регистрируют соответствующий аккаунт и публикуют сообщение c хэштегом и ссылкой на изображение на другом сервере. В картинке методами стеганографии закодировны инструкции для Hammertoss, которые тот расшифровывает, формируя ключ с использованием хэштега. В составе посланий для вредоноса исследователи нашли закодированные команды Powershell, указания по сохранению краденого контента на облачных серверах и инструкции по запуску файлов. Атакующие пользуются тем, что исходящий трафик к Twitter в организациях обычно не блокируют, а сами сообщения к Hammertoss могут мгновенно удаляться после считывания, что дополнительно усложняет расследование атаки. Чтобы не выделяться на фоне общего «шума», Hammertoss активен только в рабочее время дня. В FireEye предполагают, что Hammertoss создан хакерами из России, так как вредонос работает по московскому времени и «отдыхает» в российские выходные.