Trojan.MacOS.Komplex.A
威胁评分卡
EnigmaSoft 威胁记分卡
EnigmaSoft 威胁记分卡是针对不同恶意软件威胁的评估报告,由我们的研究团队收集和分析。 EnigmaSoft 威胁记分卡使用多个指标对威胁进行评估和排名,包括现实世界和潜在风险因素、趋势、频率、普遍性和持续性。 EnigmaSoft 威胁记分卡会根据我们的研究数据和指标定期更新,对广泛的计算机用户有用,从寻求解决方案以从系统中删除恶意软件的最终用户到分析威胁的安全专家。
EnigmaSoft 威胁记分卡显示各种有用的信息,包括:
排名: EnigmaSoft 威胁数据库中特定威胁的排名。
严重性级别:根据我们的风险建模过程和研究,确定的对象的严重性级别,以数字形式表示,如我们的威胁评估标准中所述。
受感染计算机: SpyHunter 报告的在受感染计算机上检测到的特定威胁的确认和疑似案例数量。
另请参阅威胁评估标准。
威胁级别: | 90 % (高的) |
受感染的计算机: | 13 |
初见: | February 3, 2021 |
最后一次露面: | October 27, 2022 |
Trojan.MacOS.Komplex.A被研究人员于2016年发现。这是由Sofacy Group(也称为Fancy Bear, APT28 ,Sednit和Pawn Storm)创建的macOS计算机的木马感染。在分析威胁时,恶意软件研究人员发现该木马过去是通过利用MacKeeper中的漏洞使用的。但是,据信,此威胁的最新版本主要通过损坏的电子邮件附件感染目标计算机。显然,Komplex.A Mac的木马程序是针对航空航天业的,它通过垃圾邮件活动登陆受害者的计算机,从而诱骗收件人打开一个带有俄罗斯航空航天计划信息的,以PDF文件屏蔽的恶意附件。
打开附件后,附件会将特洛伊木马文件安装在系统上,然后与由网络攻击者控制的远程命令和控制服务器(C&C服务器)建立连接。附件最初会在预览中打开包含承诺信息的实际PDF,以掩饰其真实目的。看起来像Komplex.A具有避免分析和沙箱的机制-它在执行其主要功能之前向Google发送GET请求,以确认活动的互联网连接可用。该恶意软件会在安装过程中创建多个文件,最初是在/ Users / Shared /文件夹中。具体来说,在/Users/Shared/.local/kextd和/Users/$USER/Library/LaunchAgents/com.apple.updates.plist中。然后,将文件移动到其最终位置。
尽管2016年的分析没有发现由Komplex.A执行的任何特定恶意任务,一旦完全安装,攻击者可以指示木马执行命令,例如下载和运行其他恶意软件威胁。 Komplex.A的共享功能列表也很长,还有另一个名为Carberp的威胁,该威胁会攻击Windows系统,这意味着Sofacy集团将来可能会开发新的跨平台威胁。