Los investigadores de F-Secure, desde hace un tiempo han registrado la propagación de la familia de malware Havex, intentando detectar a los atacantes que lo manejan.

Inicialmente descubierto en 2013, el grupo de ataques eran dirigidos al sector energético, pero ahora se enfocan incluso a los Sistemas de Control Industrial (ICS).

Havex es relativamente un Troyano de Acceso Remoto (RAT), llega a sus víctimas a través de correos electrónicos no deseados y kits de explotación, pero para maximizar la probabilidad de que se infecten las personas adecuadas, los atacantes utilizan tambén la técnica watering hole o abrevadero.

El sitio web en cuestión pertenece a tres proveedores de Sistemas de Control Industrial (ICS) con sede en Alemania, Suiza y Bélgica. "Dos de ellos son los proveedores de software de gestión remota de sistemas ICS y el tercero desarrolla cámaras industriales de alta precisión y software relacionado" compartió Daavid Hentunen, investigador senior de F-Secure.

Los atacantes han logrado comprometer sitios web gracias a la explotación de las vulnerabilidades en el software que utilizan para su funcionamiento, de esta forma han intercambiado instaladores de software legítimos disponibles para los clientes por programas troyanizados que incluyen a Havex RAT.

"El software de instalación del troyano desplegará y ejecutará [Havex] como parte de la instalación normal. El usuario se queda con un sistema de trabajo, pero el atacante ahora tiene una puerta trasera para acceder y controlar el ordenador," explica Hentunen.

Los investigadores de F-Secure tienen hasta ahora 88 variantes de malware analizados y han descubierto que pueden descargar y ejecutar componentes maliciosos adicionales, uno de ellos se filtra en los datos sobre la red local y el hardware conectado a ICS/SCADA.

Los investigadores descubrieron alrededor de 146 servidores C&C que dirigen el comportamiento del malware, estos servidores normalmente comprometen los sitios web.