Pesquisadores da Trend Micro Descobrem Versão de 64-bit do Havex RAT

Pesquisadores da Trend Micro depararam com uma nova versão do Havex, uma ferramenta de acesso remoto (RAT) que tem sido bastante usada em campanhas de espionagem cibernética destinadas a sistemas de controle industrial (ICS). A versão detectada é de 64 bits. Na campanha conhecida como Dragonfly (Energetic Bear/Crouching Yeti), os cybercriminosos pareciam estar usando apenas uma versão de 32-bit do Havex, já que a maioria dos sistemas aos quais eles são direcionados executa o sistema operacional Windows XP. No entanto, os pesquisadores da Trend Micro perceberam duas infecções no Windows 7, em que a versão da ameaça de 64-bit tinha sido usada.


Um dos arquivos que foi observado nesse processo de infecção trata-se do TMPpovider023.dll (BKDR64_HAVEX.A), um componente responsável pelo servidor de Comando e Controle (C & C), especificamente por suas instruções para baixar arquivos e executar comandos. Vale ressaltar que o "23" no nome do arquivo representa a versão do Havex. O arquivo em questão foi inicialmente compilado em outubro de 2012 e projetado para ser executado em sistemas operacionais de 64 bits. Na versão 29 do malware, o arquivo 64-bit foi atualizado para a de 32-bit do Havex, disseram os especialistas.


Saiba Mais:

[1] Security Week http://www.securityweek.com/research...sion-havex-rat