Trojan.MacOS.Komplex.A

Trojan.MacOS.Komplex.A blev opdaget af forskere i 2016. Det er en trojansk infektion til macOS-computere oprettet af Sofacy Group (også kendt som Fancy Bear, APT28, Sednit og Pawn Storm). Mens de analyserede truslen, fandt malware-forskere ud af, at Trojan tidligere har været brugt ved at udnytte en sårbarhed i MacKeeper. Alligevel antages det, at de nyeste versioner af denne trussel inficerer målmaskiner primært gennem beskadigede vedhæftede filer. Komplex.A Trojan for Mac er tilsyneladende målrettet luftfartsindustrien, da den lander på ofrenes computere gennem spam-kampagner, der narrer modtagere til at åbne en ondsindet vedhæftet fil maskeret som en PDF-fil med information om det russiske luftfartsprogram.

Når den er åbnet, installerer den vedhæftede fil Trojans filer på systemet og opretter derefter en forbindelse til den eksterne kommando- og kontrolserver (C&C Server), der styres af cyber-angribere. Vedhæftningen åbner oprindeligt en faktisk PDF med de lovede oplysninger i forhåndsvisning for at skjule sit sande formål. Det ser ud til, at Komplex.A har en mekanisme til at undgå analyse og sandkasser - den sender en GET-anmodning til Google for at bekræfte, at en aktiv internetforbindelse er tilgængelig, før den udfører dens vigtigste funktioner. Malwaren opretter flere filer under installationen, oprindeligt i mappen / Brugere / Delt /. Specifikt i /Users/Shared/.local/kextd og /Users/$USER/Library/LaunchAgents/com.apple.updates.plist. Derefter flyttes filerne til deres endelige placering.

Selvom analysen i 2016 ikke identificerede specifikke ondsindede opgaver, der blev udført af Komplex.A, kan angriberne, når de er fuldt installeret, instruere Trojaneren om at udføre kommandoer som at downloade og køre yderligere malware-trusler. Komplex.A har også en lang liste over delte funktioner med en anden trussel kaldet Carberp, der angriber Windows-systemer, hvilket antyder, at Sofacy Group i fremtiden kan udvikle nye platformstrusler.