Trojan.MacOS.Komplex.A
Karta wyników zagrożenia
Karta wyników zagrożeń EnigmaSoft
EnigmaSoft Threat Scorecards to raporty oceniające różne zagrożenia złośliwym oprogramowaniem, które zostały zebrane i przeanalizowane przez nasz zespół badawczy. EnigmaSoft Threat Scorecards ocenia i klasyfikuje zagrożenia przy użyciu kilku wskaźników, w tym rzeczywistych i potencjalnych czynników ryzyka, trendów, częstotliwości, rozpowszechnienia i trwałości. Karty oceny zagrożeń EnigmaSoft są regularnie aktualizowane na podstawie danych i wskaźników naszych badań i są przydatne dla szerokiego grona użytkowników komputerów, od użytkowników końcowych poszukujących rozwiązań do usuwania złośliwego oprogramowania ze swoich systemów po ekspertów ds. bezpieczeństwa analizujących zagrożenia.
Karty wyników zagrożeń EnigmaSoft wyświetlają wiele przydatnych informacji, w tym:
Ranking: Ranking konkretnego zagrożenia w bazie danych zagrożeń EnigmaSoft.
Poziom ważności: Określony poziom ważności obiektu, przedstawiony liczbowo, na podstawie naszego procesu modelowania ryzyka i badań, jak wyjaśniono w naszych Kryteriach oceny zagrożeń .
Zainfekowane komputery: liczba potwierdzonych i podejrzewanych przypadków określonego zagrożenia wykrytych na zainfekowanych komputerach według danych SpyHunter.
Zobacz także Kryteria oceny zagrożeń .
Poziom zagrożenia: | 90 % (Wysoka) |
Zainfekowane komputery: | 13 |
Pierwszy widziany: | February 3, 2021 |
Ostatnio widziany: | October 27, 2022 |
Trojan.MacOS.Komplex.A został odkryty przez badaczy w 2016 roku. Jest to infekcja trojana dla komputerów macOS stworzona przez Sofacy Group (znaną również jako Fancy Bear, APT28, Sednit i Pawn Storm). Analizując zagrożenie, badacze złośliwego oprogramowania odkryli, że trojan był używany w przeszłości poprzez wykorzystanie luki w zabezpieczeniach MacKeepera. Uważa się jednak, że najnowsze wersje tego zagrożenia infekują komputery docelowe głównie poprzez uszkodzone załączniki do wiadomości e-mail. Najwyraźniej Trojan Komplex.A dla komputerów Mac atakuje przemysł lotniczy, ponieważ ląduje na komputerach ofiar poprzez kampanie spamowe, które nakłaniają odbiorców do otwarcia złośliwego załącznika zamaskowanego jako plik PDF z informacjami o rosyjskim programie lotniczym.
Po otwarciu załącznik instaluje pliki trojana w systemie, a następnie nawiązuje połączenie ze zdalnym serwerem dowodzenia i kontroli (serwerem C&C) kontrolowanym przez cyberprzestępców. Załącznik początkowo otwiera rzeczywisty plik PDF z obiecanymi informacjami w podglądzie, aby ukryć jego prawdziwy cel. Wygląda na to, że Komplex.A ma mechanizm unikania analiz i sandboxów - wysyła żądanie GET do Google w celu potwierdzenia, że aktywne jest połączenie internetowe przed wykonaniem jego głównych funkcjonalności. Złośliwe oprogramowanie tworzy kilka plików podczas instalacji, początkowo w folderze / Users / Shared /. W szczególności w /Users/Shared/.local/kextd i /Users/$USER/Library/LaunchAgents/com.apple.updates.plist. Następnie pliki są przenoszone do ich ostatecznej lokalizacji.
Chociaż analiza przeprowadzona w 2016 roku nie zidentyfikowała żadnych konkretnych złośliwych zadań wykonywanych przez Komplex.A, po pełnej instalacji osoby atakujące mogą poinstruować trojana, aby wykonywał polecenia, takie jak pobieranie i uruchamianie dodatkowych zagrożeń ze strony złośliwego oprogramowania. Komplex.A ma również długą listę współdzielonych funkcjonalności z innym zagrożeniem o nazwie Carberp, które atakuje systemy Windows, co oznacza, że Grupa Sofacy może w przyszłości tworzyć nowe zagrożenia wieloplatformowe.