Pesquisadores da Trend Micro depararam com uma nova versão do Havex, uma ferramenta de acesso remoto (RAT) que tem sido bastante usada em campanhas de espionagem cibernética destinadas a sistemas de controle industrial (ICS). A versão detectada é de 64 bits. Na campanha conhecida como Dragonfly (Energetic Bear/Crouching Yeti), os cybercriminosos pareciam estar usando apenas uma versão de 32-bit do Havex, já que a maioria dos sistemas aos quais eles são direcionados executa o sistema operacional Windows XP. No entanto, os pesquisadores da Trend Micro perceberam duas infecções no Windows 7, em que a versão da ameaça de 64-bit tinha sido usada.
Um dos arquivos que foi observado nesse processo de infecção trata-se do TMPpovider023.dll (BKDR64_HAVEX.A), um componente responsável pelo servidor de Comando e Controle (C & C), especificamente por suas instruções para baixar arquivos e executar comandos. Vale ressaltar que o "23" no nome do arquivo representa a versão do Havex. O arquivo em questão foi inicialmente compilado em outubro de 2012 e projetado para ser executado em sistemas operacionais de 64 bits. Na versão 29 do malware, o arquivo 64-bit foi atualizado para a de 32-bit do Havex, disseram os especialistas.
Saiba Mais:
[1] Security Week http://www.securityweek.com/research...sion-havex-rat