Trojan.MacOS.Komplex.A
Карта показателей угрозы
Карта оценки угроз EnigmaSoft
EnigmaSoft Threat Scorecards — это отчеты об оценке различных вредоносных программ, которые были собраны и проанализированы нашей исследовательской группой. EnigmaSoft Threat Scorecards оценивает и ранжирует угрозы, используя несколько показателей, включая реальные и потенциальные факторы риска, тенденции, частоту, распространенность и постоянство. EnigmaSoft Threat Scorecards регулярно обновляются на основе данных и показателей наших исследований и полезны для широкого круга пользователей компьютеров, от конечных пользователей, ищущих решения для удаления вредоносных программ из своих систем, до экспертов по безопасности, анализирующих угрозы.
EnigmaSoft Threat Scorecards отображает разнообразную полезную информацию, в том числе:
Рейтинг: рейтинг конкретной угрозы в базе данных угроз EnigmaSoft.
Уровень серьезности: определенный уровень серьезности объекта, представленный в числовом виде на основе нашего процесса моделирования рисков и исследований, как описано в наших критериях оценки угроз .
Зараженные компьютеры: количество подтвержденных и предполагаемых случаев конкретной угрозы, обнаруженной на зараженных компьютерах, по данным SpyHunter.
См. также Критерии оценки угроз .
Уровень угрозы: | 90 % (Высокая) |
Зараженные компьютеры: | 13 |
Первый раз: | February 3, 2021 |
Последний визит: | October 27, 2022 |
Trojan.MacOS.Komplex.A был обнаружен исследователями в 2016 году. Это троянская инфекция для компьютеров MacOS, созданная группой Sofacy (также известной как Fancy Bear, APT28 , Sednit и Pawn Storm). Анализируя угрозу, исследователи вредоносного ПО выяснили, что троян использовался в прошлом, эксплуатируя уязвимость в MacKeeper. Тем не менее, считается, что последние версии этой угрозы заражают целевые машины в основном через поврежденные вложения электронной почты. По всей видимости, троянец Komplex.A для Mac нацелен на аэрокосмическую промышленность, поскольку он попадает на компьютеры жертв посредством спам-кампаний, которые обманом заставляют получателей открывать вредоносное вложение, замаскированное под PDF-файл с информацией о российской аэрокосмической программе.
После открытия вложение устанавливает файлы троянца в систему, а затем устанавливает соединение с удаленным сервером управления и контроля (C&C Server), управляемым кибер-злоумышленниками. Вложение изначально открывает настоящий PDF-файл с обещанной информацией в предварительном просмотре, чтобы скрыть его истинное предназначение. Похоже, что Komplex.A имеет механизм, позволяющий избежать анализа и песочниц - он отправляет запрос GET в Google, чтобы подтвердить наличие активного подключения к Интернету, прежде чем выполнять свои основные функции. Вредоносная программа создает несколько файлов во время установки, изначально в папке / Users / Shared /. В частности, в /Users/Shared/.local/kextd и /Users/$USER/Library/LaunchAgents/com.apple.updates.plist. Затем файлы перемещаются в их окончательное расположение.
Хотя анализ, проведенный в 2016 году, не выявил каких-либо конкретных вредоносных задач, выполняемых Komplex.A, после полной установки злоумышленники могут дать троянцу команду выполнять команды, такие как загрузка и запуск дополнительных вредоносных программ. Komplex.A также имеет длинный список общих функций с другой угрозой под названием Carberp , которая атакует системы Windows, подразумевая, что Sofacy Group может в будущем разрабатывать новые кроссплатформенные угрозы.