Эксперты обнаружили 64-битную разновидность вредоноса Havex RAT
Вредоносное ПО Havex активно используется в кампаниях кибершпионажа для атак на автоматизированные системы управления промышленными объектами.
Представители компании Trend Micro обнаружили 64-битный вариант трояна Havex, средства удаленного доступа, которое применяется в кампаниях кибершпиоанажа для атак на индустриальные автоматизированные системы управления.
Во вредоносной кампании Dragonfly злоумышленники использовали 32-битную версию Havex, поскольку их интересовали преимущественно системы под управлением устаревшей ОС Windows XP. Однако эксперты выявили две системы на ОС Windows 7, инфицированные 64-битной разновидностью вредоноса.
Один из файлов вредоносного ПО – это TMPpovider023.dll (BKDR64_HAVEX.A), библиотека, отвечающая за коммуникацию с C&C-серверами, а именно за загрузку файлов и выполнение команд. Цифра 23 в наименовании файла обозначает версию вредоноса. Скомпилированный в октябре 2012 года, данный файл предназначен для 64-битных систем. В версию Havex v029 включен обновленный 32-битный вариант файла.
«Файл TMPprovider023.dll (v023) был скомпилирован раньше, чем любой из трех других файлов, то есть, 64-битный файл использовался в этом вредоносе до появления 32-битных версий. Фактически в результате самостоятельного запуска 32-битного модуля появляется файл TMPprovider029.dll, который, несомненно, представляет собой Havex RAT v029» - поясняют эксперты.
Версии v023 и v029 используют одну и ту же инфраструктуру, поскольку обращаются к одним и тем же C&C-серверам. Исследователи о том, что в настоящее время запросы на C&C-серверы поступают как минимум с четырех IP-адресов.
Специалисты компании также выявили вредоносные файлы, обнаруживаемые как BKDR_HAVEX.SM, которые в целях конспирации были подписаны фальшивым цифровым сертификатом IBM.
«Несмотря на то что HAVEX RAT использовался в нескольких циклах, не исключено его повторное использование. Специалистам следует учесть, что структура бинарников HAVEX и известных вредоносов для Windows во многом совпадают. Поэтому необходимо проверять программное обеспечение, которое устанавливается на конечные системы, а также мониторить HTTP-трафик», - советуют эксперты.
Ваш провайдер знает о вас больше, чем ваша девушка?