Trojan.MacOS.Komplex.A
Trusselscorekort
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards er vurderingsrapporter for forskellige malware-trusler, som er blevet indsamlet og analyseret af vores forskningsteam. EnigmaSoft Threat Scorecards evaluerer og rangerer trusler ved hjælp af adskillige metrics, herunder virkelige og potentielle risikofaktorer, tendenser, frekvens, udbredelse og persistens. EnigmaSoft Threat Scorecards opdateres regelmæssigt baseret på vores forskningsdata og metrics og er nyttige for en bred vifte af computerbrugere, fra slutbrugere, der søger løsninger til at fjerne malware fra deres systemer, til sikkerhedseksperter, der analyserer trusler.
EnigmaSoft Threat Scorecards viser en række nyttige oplysninger, herunder:
Rangering: Rangeringen af en bestemt trussel i EnigmaSofts trusseldatabase.
Sværhedsgrad: Et objekts fastlagte sværhedsgrad, repræsenteret numerisk, baseret på vores risikomodelleringsproces og forskning, som forklaret i vores trusselsvurderingskriterier .
Inficerede computere: Antallet af bekræftede og formodede tilfælde af en bestemt trussel opdaget på inficerede computere som rapporteret af SpyHunter.
Se også Kriterier for trusselsvurdering .
Trusselsniveau: | 90 % (Høj) |
Inficerede computere: | 13 |
Først set: | February 3, 2021 |
Sidst set: | October 27, 2022 |
Trojan.MacOS.Komplex.A blev opdaget af forskere i 2016. Det er en trojansk infektion til macOS-computere oprettet af Sofacy Group (også kendt som Fancy Bear, APT28, Sednit og Pawn Storm). Mens de analyserede truslen, fandt malware-forskere ud af, at Trojan tidligere har været brugt ved at udnytte en sårbarhed i MacKeeper. Alligevel antages det, at de nyeste versioner af denne trussel inficerer målmaskiner primært gennem beskadigede vedhæftede filer. Komplex.A Trojan for Mac er tilsyneladende målrettet luftfartsindustrien, da den lander på ofrenes computere gennem spam-kampagner, der narrer modtagere til at åbne en ondsindet vedhæftet fil maskeret som en PDF-fil med information om det russiske luftfartsprogram.
Når den er åbnet, installerer den vedhæftede fil Trojans filer på systemet og opretter derefter en forbindelse til den eksterne kommando- og kontrolserver (C&C Server), der styres af cyber-angribere. Vedhæftningen åbner oprindeligt en faktisk PDF med de lovede oplysninger i forhåndsvisning for at skjule sit sande formål. Det ser ud til, at Komplex.A har en mekanisme til at undgå analyse og sandkasser - den sender en GET-anmodning til Google for at bekræfte, at en aktiv internetforbindelse er tilgængelig, før den udfører dens vigtigste funktioner. Malwaren opretter flere filer under installationen, oprindeligt i mappen / Brugere / Delt /. Specifikt i /Users/Shared/.local/kextd og /Users/$USER/Library/LaunchAgents/com.apple.updates.plist. Derefter flyttes filerne til deres endelige placering.
Selvom analysen i 2016 ikke identificerede specifikke ondsindede opgaver, der blev udført af Komplex.A, kan angriberne, når de er fuldt installeret, instruere Trojaneren om at udføre kommandoer som at downloade og køre yderligere malware-trusler. Komplex.A har også en lang liste over delte funktioner med en anden trussel kaldet Carberp, der angriber Windows-systemer, hvilket antyder, at Sofacy Group i fremtiden kan udvikle nye platformstrusler.