Trojan.MacOS.Komplex.A
Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartları, araştırma ekibimiz tarafından toplanan ve analiz edilen farklı kötü amaçlı yazılım tehditleri için değerlendirme raporlarıdır. EnigmaSoft Tehdit Puan Kartları, gerçek dünya ve potansiyel risk faktörleri, eğilimler, sıklık, yaygınlık ve kalıcılık dahil olmak üzere çeşitli ölçümleri kullanarak tehditleri değerlendirir ve sıralar. EnigmaSoft Tehdit Puan Kartları, araştırma verilerimize ve ölçümlerimize dayalı olarak düzenli olarak güncellenir ve kötü amaçlı yazılımları sistemlerinden kaldırmak için çözümler arayan son kullanıcılardan tehditleri analiz eden güvenlik uzmanlarına kadar çok çeşitli bilgisayar kullanıcıları için yararlıdır.
EnigmaSoft Tehdit Puan Kartları, aşağıdakiler de dahil olmak üzere çeşitli yararlı bilgiler görüntüler:
Sıralama: Belirli bir tehdidin EnigmaSoft'un Tehdit Veritabanındaki sıralaması.
Önem Düzeyi: Tehdit Değerlendirme Kriterlerimizde açıklandığı gibi, risk modelleme sürecimize ve araştırmamıza dayalı olarak sayısal olarak gösterilen, bir nesnenin belirlenen önem düzeyi.
Enfekte Bilgisayarlar: SpyHunter tarafından bildirildiği üzere, virüslü bilgisayarlarda tespit edilen belirli bir tehdidin doğrulanmış ve şüphelenilen vakalarının sayısı.
Ayrıca bkz. Tehdit Değerlendirme Kriterleri .
Tehlike seviyesi: | 90 % (Yüksek) |
Etkilenen Bilgisayarlar: | 13 |
İlk görüş: | February 3, 2021 |
Son görülen: | October 27, 2022 |
Trojan.MacOS.Komplex.A, 2016 yılında araştırmacılar tarafından keşfedildi. Bu, Sofacy Group (Fancy Bear, APT28, Sednit ve Pawn Storm olarak da bilinir) tarafından oluşturulan macOS bilgisayarları için bir Truva atı enfeksiyonudur. Kötü amaçlı yazılım araştırmacıları tehdidi analiz ederken, Truva atının MacKeeper'daki bir güvenlik açığından yararlanarak geçmişte kullanıldığını keşfettiler. Yine de, bu tehdidin son sürümlerinin hedef makinelere esas olarak bozuk e-posta ekleri yoluyla bulaştığına inanılıyor. Görünüşe göre, Mac için Komplex.A Truva Atı, alıcıları Rus havacılık programı hakkında bilgi içeren bir PDF dosyası olarak maskelenmiş kötü niyetli bir eki açmaya kandıran spam kampanyaları yoluyla kurbanların bilgisayarlarına ulaşan havacılık endüstrisini hedefliyor.
Ek, açıldığında Truva atının dosyalarını sisteme yükler ve ardından siber saldırganlar tarafından kontrol edilen uzak Komuta ve Kontrol Sunucusu (C&C Sunucusu) ile bağlantı kurar. Ek, başlangıçta gerçek amacını gizlemek için önizlemede vaat edilen bilgileri içeren gerçek bir PDF açar. Görünüşe göre Komplex.A, analiz ve korumalı alanlardan kaçınmak için bir mekanizmaya sahip - ana işlevlerini yerine getirmeden önce aktif bir İnternet bağlantısının mevcut olduğunu onaylamak için Google'a bir GET isteği gönderir. Kötü amaçlı yazılım, kurulum sırasında başlangıçta / Users / Shared / klasöründe birkaç dosya oluşturur. Özellikle /Users/Shared/.local/kextd ve /Users/$USER/Library/LaunchAgents/com.apple.updates.plist içinde. Ardından dosyalar son konumlarına taşınır.
2016'daki analiz, Komplex.A tarafından gerçekleştirilen belirli kötü amaçlı görevleri tanımlamasa da, tam olarak kurulduktan sonra, saldırganlar Truva Atı'na ek kötü amaçlı yazılım tehditlerini indirip çalıştırma gibi komutları çalıştırma talimatı verebilir. Komplex.A ayrıca, Windows sistemlerine saldıran Carberp adlı başka bir tehditle birlikte, Sofacy Group'un gelecekte yeni platformlar arası tehditler geliştirebileceğini ima eden uzun bir paylaşılan işlevler listesine sahiptir.