Trojan.MacOS.Komplex.A
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Classificação: A classificação de uma ameaça específica no banco de dados de ameaças da EnigmaSoft.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
Nível da Ameaça: | 90 % (Alto) |
Computadores infectados: | 13 |
Visto pela Primeira Vez: | February 3, 2021 |
Visto pela Última Vez: | October 27, 2022 |
O Trojan.MacOS.Komplex.A foi descoberto pelos pesquisadores em 2016. É uma infecção por Trojan para os computadores macOS criado pelo Sofacy Group (também conhecido como Fancy Bear, APT28, Sednit e Pawn Storm). Ao analisar a ameaça, os pesquisadores de malware descobriram que o Trojan foi usado no passado, explorando uma vulnerabilidade no MacKeeper. Ainda assim, acredita-se que as versões mais recentes dessa ameaça infectem as máquinas alvo principalmente por meio de anexos de e-mail corrompidos. Aparentemente, o Trojan Komplex.A para Mac tem como alvo a indústria aeroespacial, pois chega aos computadores das vítimas por meio de campanhas de spam que induzem os destinatários a abrir um anexo malicioso mascarado como um arquivo PDF com informações sobre o programa aeroespacial russo.
Depois de aberto, o anexo instala os arquivos do Trojan no sistema e, em seguida, estabelece uma conexão com o servidor de Comando e Controle remoto (servidor C&C) controlado pelos ciberataques. O anexo abre inicialmente um PDF real com as informações prometidas na visualização para disfarçar seu verdadeiro propósito. Parece que o Komplex.A tem um mecanismo para evitar análises e sandboxes - ele envia uma solicitação GET ao Google para confirmar que uma conexão de Internet ativa está disponível antes de realizar suas principais funcionalidades. O malware cria vários arquivos durante a instalação, inicialmente na pasta /Usuários/Compartilhado/. Especificamente, em /Users/Shared/.local/kextd e /Users/$USER/Library/LaunchAgents/com.apple.updates.plist. Em seguida, os arquivos são movidos para so eu local final.
Embora a análise de 2016 não tenha identificado nenhuma tarefa maliciosa específica realizada pelo Komplex.A, uma vez totalmente instalado, os atacantes podem instruir o Trojan a executar comandos, como baixar e executar ameaças de malware adicionais. O Komplex.A também tem uma longa lista de funcionalidades compartilhadas com outra ameaça chamada Carberp, que ataca os sistemas Windows, o que implica que o Sofacy Group pode no futuro desenvolver novas ameaças multiplataforma.