El Malware Havex se conoce para ser utilizado en ataques dirigidos contra diferentes sectores industriales, y con un un interés específico en el sector de la energía.
Sus componentes principales:
- Son un Troyano tipo RAT (Herramienta de Acceso Remoto)
- Un servidor de control para el troyano (C&C)
F-Secure reunio y analizo 88 variantes del Havex RAT, encontrando 146 AServidores comando y control (C & C). También encontraron un componente adicional utilizado por los atacantes que incluye código para relevar informacion datos de equipos infectados utilizados en sistemas de ICS / SCADA.
El Havex RAT se distribuye por lo menos a través de los siguientes canales:
- El correo spam
- Exploit kits
- Instaladores troyanizados en sitios de proveedores comprometidos
El archvivo troyanizado es llamado "mbcheck.dll". Este archivo es en realidad el malware Havex.
La mayoría de las víctimas se encuentran en Europa, de igual forma una compañía en California también fue observada en el envío de datos a los servidores C & C. De las organizaciones con sede en Europa, dos son las principales instituciones educativas en Francia, conocidos por su investigación relacionada con la tecnología; dos son de aplicación industrial o máquinas fabricantes alemanes; uno es un fabricante de maquinaria industrial francesa; y la otra es una empresa de construcción rusa que parece especializarse en ingeniería estructural.
El componente Sniffer ICS / SCADA de Havex que enumera la red de área local y busca recursos y servidores conectados: utiliza Microsoft Component Object Model (COM)(CoInitializeEx, CoCreateInstanceEx) para conectarse a servicios específicos:
Mas información en la Fuente:
http://www.f-secure.com/weblog/archives/00002718.html
No hay comentarios.:
Publicar un comentario