Замечена новая версия вредоносного ПО Havex RAT

Приложение Havex стала часто применятся для нападений на автоматизированные системы управления, которые используются на производстве. Злоумышленники предпочитают именно этот вирус, потому что его легко спрятать, настроить под необходимые требования.

Эксперты организации Trend Micro сказали о возникновении x64-версии данного трояна. Понятно, что основное поле работы развернётся на системах с похожим ядром, особенно на Windows 7 x64. Уже сейчас можно сказать, что многочисленные автоматизированные системы находятся в опасности, если их администраторы не будут быстро загружать все обновления безопасности.

Одним из основных компонентов Havex считается файл-библиотека TMPpovider023.dll, который применяется для загрузки вредоносного вируса на серверах С&C. В данном случае, цифра 23 показывает на текущую версию файла. Компиляция библиотеки выполнялась в конце 2013 года, однако активная фаза её работы началась только сейчас. Если посмотреть на версию Havex v028, то там был ещё 32-битный вариант, а 64-битный был сделан только в ноябре 2014.

Различий между v023 и v028, кроме разрядности, практически не было. Как говорят специалисты, атаки поступают с многих IP-адресов, пока обнаружено только несколько адресов. Поскольку в версиях применяется подобная инфраструктура, использование. Поскольку хакерам иногда нужна конспирация файлов, для подписи применяется поддельный цифровой сертификат от IBM. Как считают специалисты, администраторам автоматизированных систем следует часто выполнять мониторинг трафика по протоколу HTTP. Так как общего между Havex и другими вирусами под Windows достаточно много, способов взломать систему появляется много. Несколько волн нападений уже случилось, не исключается и повторная активность таких вирусов.