Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Trojan havex : Decouverte d'une version 64 bits

30 Décembre 2014 , Rédigé par nicko Publié dans #informatique

Trojan havex : Decouverte d'une version 64 bits

De nouvelles infections via le cheval de Troie d’accès a distance Havex (RAT) ont été découvertes par des chercheurs en sécurité, qui ont observé que les auteurs de logiciels malveillants tentent de contourner la détection en signant la menace eux-mêmes.

Les fichiers avec la signature numérique spoofed essayent de se faire passer comme des composants créés par la division logiciels d'IBM.

Les chercheurs de Trend Micro ont également trouvé la première version du logiciel malveillant conçu pour compromettre les systèmes 64 bits.

Une version pour les systèmes 64 bits antérieur que celles pour 32 bits

Havex RAT a été créé dans le but de voler des données de cibles dans différents secteurs d'activité industriel tels que (ICS / SCADA), l'industrie manufacturière, l'industrie pharmaceutique, la construction ou de l'enseignement.

Il fait partie d'une campagne de cyber-espionnage active qui a été découverte au début de 2014, mais qui selon les traces serait actif depuis 2010. On connaît aussi l'opération sous les noms Energetic Bear et Crouching Yeti.

Selon l'analyse de Trend Micro, TMPpovider023.dll crée deux fichiers dans le système de fichiers et il est en charge de la communication avec les serveurs de commande et de contrôle pour recevoir des instructions telles que le téléchargement des modules supplémentaires ou l'exécution des commandes.

Il semble que de la version 64 bits du malware (V023), soit une version 32 bits émergé, avec le nom TMPprovider029.dll.

Basé sur l'analyse, les chercheurs ont pu déterminer trois autres fichiers »qui semblent être liés entre. eux en une seule infection:" 34CD.tmp.dll, 734.tmp.dll et 4F2.tmp.dll; chacun d'entre eux ont été compilées à partir du deuxième trimestre de 2013.

L'auto-signature était évidente


Dans une autre infection, Trend Micro a découvert des composants qui semblaient être signé par IBM (capture d'écran ci-dessous), "malgré que le certificat était numériquement auto-signé."

Les "Fichiers dûment signés doivent venir avec une autorité de certification de confiance pour valider le certificat numérique émis, mais ces fichiers n'en avait pas. Alors que nous étions alors incapables de déterminer que le progiciel avait ces fichiers , ce qui est intéressant, c'est qu'il y a trois autres fichiers qui portent une signature numérique similaire à celui vu plus haut. Tous ces fichiers sont détectés comme BKDR_HAVEX.SM, a dit "Yaneza dans un billet de blog publié lundi.

Le chercheur souligne que Havex a déjà été modifié de nombreuses fois pour échapper à la détection et que ses opérateurs continuerons de le modifier afin de se soustraire aux nouvelles capacités de détection des solutions de sécurité.

Source: Softpedia

Trojan havex : Decouverte d'une version 64 bits

Les "Fichiers dûment signés doivent venir avec une autorité de certification de confiance pour valider le certificat numérique émis, mais ces fichiers n'en avait pas. Alors que nous étions alors incapables de déterminer que le progiciel avait ces fichiers , ce qui est intéressant, c'est qu'il y a trois autres fichiers qui portent une signature numérique similaire à celui vu plus haut. Tous ces fichiers sont détectés comme BKDR_HAVEX.SM, a dit "Yaneza dans un billet de blog publié lundi.

Le chercheur souligne que Havex a déjà été modifié de nombreuses fois pour échapper à la détection et que ses opérateurs continuerons de le modifier afin de se soustraire aux nouvelles capacités de détection des solutions de sécurité.

Source: Softpedia

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :

Commenter cet article