Trojan.MacOS.Komplex.A
Bedreigingsscorekaart
EnigmaSoft Threat-scorekaart
EnigmaSoft Threat Scorecards zijn beoordelingsrapporten voor verschillende malwarebedreigingen die zijn verzameld en geanalyseerd door ons onderzoeksteam. EnigmaSoft Threat Scorecards evalueren en rangschikken bedreigingen met behulp van verschillende statistieken, waaronder reële en potentiële risicofactoren, trends, frequentie, prevalentie en persistentie. EnigmaSoft Threat Scorecards worden regelmatig bijgewerkt op basis van onze onderzoeksgegevens en statistieken en zijn nuttig voor een breed scala aan computergebruikers, van eindgebruikers die oplossingen zoeken om malware van hun systemen te verwijderen tot beveiligingsexperts die bedreigingen analyseren.
EnigmaSoft Threat Scorecards geven een verscheidenheid aan nuttige informatie weer, waaronder:
Rangschikking: de rangorde van een bepaalde bedreiging in de bedreigingsdatabase van EnigmaSoft.
Ernstniveau: het vastgestelde ernstniveau van een object, numeriek weergegeven, op basis van ons risicomodelleringsproces en onderzoek, zoals uitgelegd in onze dreigingsbeoordelingscriteria .
Geïnfecteerde computers: het aantal bevestigde en vermoedelijke gevallen van een bepaalde dreiging die is gedetecteerd op geïnfecteerde computers, zoals gerapporteerd door SpyHunter.
Zie ook Criteria voor dreigingsevaluatie .
| Dreigingsniveau: | 90 % (Hoog) |
| Geïnfecteerde computers: | 13 |
| Eerst gezien: | February 3, 2021 |
| Laatst gezien: | October 27, 2022 |
Trojan.MacOS.Komplex.A werd ontdekt door onderzoekers in 2016. Het is een Trojan-infectie voor macOS-computers gemaakt door de Sofacy Group (ook bekend als Fancy Bear, APT28, Sednit en Pawn Storm). Bij het analyseren van de dreiging kwamen malwareonderzoekers erachter dat de Trojan in het verleden is gebruikt door misbruik te maken van een kwetsbaarheid in MacKeeper. Toch wordt aangenomen dat de nieuwste versies van deze bedreiging doelmachines voornamelijk infecteren via beschadigde e-mailbijlagen. Blijkbaar richt Komplex.A Trojan for Mac zich op de lucht- en ruimtevaartindustrie, aangezien het op de computers van slachtoffers belandt via spamcampagnes die ontvangers misleiden om een kwaadaardige bijlage te openen die is gemaskeerd als een pdf-bestand met informatie over het Russische lucht- en ruimtevaartprogramma.
Eenmaal geopend, installeert de bijlage de bestanden van de Trojan op het systeem en brengt vervolgens een verbinding tot stand met de externe Command and Control Server (C&C Server) die wordt beheerd door de cyberaanvallers. De bijlage opent in eerste instantie een echte PDF met de beloofde informatie als voorbeeld om het ware doel ervan te verhullen. Het lijkt erop dat Komplex.A een mechanisme heeft om analyse en sandboxen te vermijden - het stuurt een GET-verzoek naar Google om te bevestigen dat er een actieve internetverbinding beschikbaar is, voordat de belangrijkste functies worden uitgevoerd. De malware maakt tijdens de installatie verschillende bestanden aan, aanvankelijk in de map / Users / Shared /. Specifiek in /Users/Shared/.local/kextd en /Users/$USER/Library/LaunchAgents/com.apple.updates.plist. Vervolgens worden de bestanden naar hun uiteindelijke locatie verplaatst.
Hoewel de analyse in 2016 geen specifieke kwaadaardige taken identificeerde die door Komplex.A werden uitgevoerd, kunnen de aanvallers, eenmaal volledig geïnstalleerd, de Trojan instrueren om opdrachten uit te voeren, zoals het downloaden en uitvoeren van aanvullende malwarebedreigingen. Komplex.A heeft ook een lange lijst van gedeelde functionaliteiten met een andere bedreiging genaamd Carberp, die Windows-systemen aanvalt, wat impliceert dat de Sofacy Group in de toekomst nieuwe platformonafhankelijke bedreigingen kan ontwikkelen.
