Trojan.MacOS.Komplex.A
Scorekort för hot
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards är utvärderingsrapporter för olika skadliga hot som har samlats in och analyserats av vårt forskarteam. EnigmaSoft Threat Scorecards utvärderar och rangordnar hot med hjälp av flera mätvärden inklusive verkliga och potentiella riskfaktorer, trender, frekvens, prevalens och persistens. EnigmaSoft Threat Scorecards uppdateras regelbundet baserat på våra forskningsdata och mätvärden och är användbara för ett brett spektrum av datoranvändare, från slutanvändare som söker lösningar för att ta bort skadlig programvara från sina system till säkerhetsexperter som analyserar hot.
EnigmaSoft Threat Scorecards visar en mängd användbar information, inklusive:
Ranking: Rangordningen av ett visst hot i EnigmaSofts hotdatabas.
Allvarlighetsnivå: Den fastställda svårighetsgraden för ett objekt, representerad numeriskt, baserat på vår riskmodelleringsprocess och forskning, som förklaras i våra hotbedömningskriterier .
Infekterade datorer: Antalet bekräftade och misstänkta fall av ett visst hot som upptäckts på infekterade datorer som rapporterats av SpyHunter.
Se även Kriterier för hotbedömning .
Hotnivå: | 90 % (Hög) |
Infekterade datorer: | 13 |
Först sett: | February 3, 2021 |
Senast sedd: | October 27, 2022 |
Trojan.MacOS.Komplex.A upptäcktes av forskare 2016. Det är en Trojan-infektion för macOS-datorer skapade av Sofacy Group (även känd som Fancy Bear, APT28, Sednit och Pawn Storm). Under analysen av hotet upptäckte skadliga forskare att Trojan har använts tidigare genom att utnyttja en sårbarhet i MacKeeper. Ändå tror man att de senaste versionerna av detta hot infekterar målmaskiner främst genom skadade e-postbilagor. Uppenbarligen riktar sig Komplex.A Trojan för Mac till flygindustrin, eftersom den landar på offrens datorer genom skräppostkampanjer som lurar mottagarna att öppna en skadlig bilaga som maskeras som en PDF-fil med information om det ryska rymdprogrammet.
När den väl har öppnats installerar den bifogade Trojan-filerna i systemet och upprättar sedan en anslutning med fjärrkommandot och kontrollservern (C&C Server) som styrs av cyberangriparna. Bilagan öppnar ursprungligen en faktisk PDF med den utlovade informationen i förhandsgranskning för att dölja dess verkliga syfte. Det ser ut som att Komplex.A har en mekanism för att undvika analys och sandlådor - den skickar en GET-begäran till Google för att bekräfta att en aktiv internetanslutning är tillgänglig innan de huvudsakliga funktionerna utförs. Skadlig kod skapar flera filer under installationen, initialt i mappen / Användare / Delad /. Specifikt i /Users/Shared/.local/kextd och /Users/$USER/Library/LaunchAgents/com.apple.updates.plist. Sedan flyttas filerna till sin slutliga plats.
Även om analysen 2016 inte identifierade några specifika skadliga uppgifter som utförts av Komplex.A, när de väl är installerade, kan angriparna instruera Trojan att utföra kommandon, som att ladda ner och köra ytterligare hot mot skadlig programvara. Komplex.A har också en lång lista med delade funktioner med ett annat hot som heter Carberp, som attackerar Windows-system, vilket innebär att Sofacy Group i framtiden kan utveckla nya plattformshot.