Trojan.MacOS.Komplex.A
Cartoncino segnapunti di minaccia
Scheda di valutazione delle minacce di EnigmaSoft
Le EnigmaSoft Threat Scorecard sono rapporti di valutazione per diverse minacce malware che sono state raccolte e analizzate dal nostro team di ricerca. Le EnigmaSoft Threat Scorecard valutano e classificano le minacce utilizzando diverse metriche tra cui fattori di rischio reali e potenziali, tendenze, frequenza, prevalenza e persistenza. Le EnigmaSoft Threat Scorecard vengono aggiornate regolarmente in base ai dati e alle metriche della nostra ricerca e sono utili per un'ampia gamma di utenti di computer, dagli utenti finali che cercano soluzioni per rimuovere il malware dai loro sistemi agli esperti di sicurezza che analizzano le minacce.
Le schede di valutazione delle minacce di EnigmaSoft mostrano una serie di informazioni utili, tra cui:
Classifica: la classifica di una particolare minaccia nel database delle minacce di EnigmaSoft.
Livello di gravità: il livello di gravità determinato di un oggetto, rappresentato numericamente, in base al nostro processo di modellazione del rischio e alla nostra ricerca, come spiegato nei nostri criteri di valutazione delle minacce .
Computer infetti: il numero di casi confermati e sospetti di una particolare minaccia rilevati su computer infetti come riportato da SpyHunter.
Vedere anche Criteri di valutazione delle minacce .
Livello di minaccia: | 90 % (Alto) |
Computer infetti: | 13 |
Visto per la prima volta: | February 3, 2021 |
Ultima visualizzazione: | October 27, 2022 |
Trojan.MacOS.Komplex.A è stato scoperto dai ricercatori nel 2016. Si tratta di un'infezione Trojan per computer macOS creata dal Sofacy Group (noto anche come Fancy Bear, APT28, Sednit e Pawn Storm). Analizzando la minaccia, i ricercatori di malware hanno scoperto che il Trojan è stato utilizzato in passato sfruttando una vulnerabilità in MacKeeper. Tuttavia, si ritiene che le ultime versioni di questa minaccia infettino i computer di destinazione principalmente attraverso allegati di posta elettronica danneggiati. Apparentemente, Komplex.A Trojan per Mac prende di mira l'industria aerospaziale, poiché atterra sui computer delle vittime attraverso campagne di spam che inducono i destinatari ad aprire un allegato dannoso mascherato da file PDF con informazioni sul programma aerospaziale russo.
Una volta aperto, l'allegato installa i file del Trojan sul sistema e quindi stabilisce una connessione con il server di comando e controllo remoto (C&C Server) controllato dai cyber-attaccanti. L'allegato apre inizialmente un PDF effettivo con le informazioni promesse in anteprima per mascherarne il vero scopo. Sembra che Komplex.A abbia un meccanismo per evitare analisi e sandbox: invia una richiesta GET a Google per confermare che una connessione Internet attiva è disponibile prima di eseguire le sue funzionalità principali. Il malware crea diversi file durante l'installazione, inizialmente nella cartella / Users / Shared /. In particolare, in /Users/Shared/.local/kextd e /Users/$USER/Library/LaunchAgents/com.apple.updates.plist. Quindi, i file vengono spostati nella loro posizione finale.
Sebbene l'analisi nel 2016 non abbia identificato alcuna attività dannosa specifica eseguita da Komplex.A, una volta completata l'installazione, gli aggressori possono istruire il Trojan a eseguire comandi, come il download e l'esecuzione di minacce malware aggiuntive. Komplex.A ha anche un lungo elenco di funzionalità condivise con un'altra minaccia chiamata Carberp, che attacca i sistemi Windows, il che implica che il Gruppo Sofacy potrebbe in futuro sviluppare nuove minacce multipiattaforma.