Trojan.MacOS.Komplex.A
威脅評分卡
EnigmaSoft 威胁记分卡
EnigmaSoft 威脅記分卡是我們的研究團隊收集和分析的不同惡意軟件威脅的評估報告。 EnigmaSoft 威脅記分卡使用多種指標對威脅進行評估和排名,包括現實世界和潛在的風險因素、趨勢、頻率、普遍性和持續性。 EnigmaSoft 威脅記分卡根據我們的研究數據和指標定期更新,對范圍廣泛的計算機用戶非常有用,從尋求解決方案以從其係統中刪除惡意軟件的最終用戶到分析威脅的安全專家。
EnigmaSoft 威脅記分卡顯示各種有用的信息,包括:
排名:特定威脅在 EnigmaSoft 的威脅數據庫中的排名。
嚴重級別:根據我們的風險建模過程和研究確定的對象嚴重級別,以數字表示,如我們的威脅評估標準中所述。
受感染的計算機:根據 SpyHunter 的報告,在受感染的計算機上檢測到的特定威脅的已確認和疑似案例的數量。
另請參閱威脅評估標準。
| 威胁级别: | 90 % (高的) |
| 受感染的计算机: | 13 |
| 初见: | February 3, 2021 |
| 最后一次露面: | October 27, 2022 |
Trojan.MacOS.Komplex.A被研究人員於2016年發現。這是由Sofacy Group(也稱為Fancy Bear, APT28 ,Sednit和Pawn Storm)創建的macOS計算機的木馬感染。在分析威脅時,惡意軟件研究人員發現該木馬過去是通過利用MacKeeper中的漏洞使用的。但是,據信,此威脅的最新版本主要通過損壞的電子郵件附件感染目標計算機。顯然,Komplex.A Mac的木馬程序是針對航空航天業的,它通過垃圾郵件活動登陸受害者的計算機,從而誘騙收件人打開一個帶有俄羅斯航空航天計劃信息的,以PDF文件屏蔽的惡意附件。
打開附件後,附件會將特洛伊木馬文件安裝在系統上,然後與由網絡攻擊者控制的遠程命令和控制服務器(C&C服務器)建立連接。附件最初會在預覽中打開包含承諾信息的實際PDF,以掩飾其真實目的。看起來像Komplex.A具有避免分析和沙箱的機制-它在執行其主要功能之前向Google發送GET請求,以確認活動的互聯網連接可用。該惡意軟件會在安裝過程中創建多個文件,最初是在/ Users / Shared /文件夾中。具體來說,在/Users/Shared/.local/kextd和/Users/$USER/Library/LaunchAgents/com.apple.updates.plist中。然後,將文件移動到其最終位置。
儘管2016年的分析沒有發現由Komplex.A執行的任何特定惡意任務,一旦完全安裝,攻擊者可以指示木馬執行命令,例如下載和運行其他惡意軟件威脅。 Komplex.A的共享功能列表也很長,還有另一個名為Carberp的威脅,該威脅會攻擊Windows系統,這意味著Sofacy集團將來可能會開發新的跨平台威脅。
