komplekser, ifølge sikkerhedseksperter på Palo Alto Networks, en ny trojansk til Mac OS X, som menes at være knyttet til aktiviteterne i Sofacy (også kendt som APT28, Pawn Storm, fancy Bjørn, og Sednit), en russisk cyber spionage gruppe. Selvom ingen ofre er blevet rapporteret endnu, forskerholdet har spottet malware nyttelast. Desuden, forskere har afsløret, at den trojanske er blevet tilpasset til at målrette folk i luftfartsindustrien.
Komplex Trojan Teknisk oversigt
Tre versioner af den trojanske er kendt som langt:
- En Komplex version til x64-arkitektur;
- En Komplex version til x86-arkitekturen;
- Og en tredje version til begge arkitekturer.
Den trojanske har flere dele, første førende med et bindemiddel komponent, der er ansvarlig for at gemme en anden nyttelast og en lokkedue dokument til systemet. Vi fandt tre forskellige versioner af Komplex bindemiddel, en, der blev oprettet for at køre på x86, anden på x64, og en tredje, der indeholdt bindemidler til både x86 og x64-arkitekturer.
Under forskernes analyse, det blev kendt, at Komplex blev brugt i en tidligere angreb, der målrettet ofre kører OS X. Angrebet udnyttede en sårbarhed i MacKeeper ansøgningen og leveret Komplex som en nyttelast. Ikke overraskende, den trojanske har meget til fælles med et andet værktøj anvendes af APT29 - Carberp som blev indsat mod Windows-brugere.
Ud over fælles kode og funktionalitet, forskerne også opdaget Komplex kommando og kontrol (C2) domæner, der overlappede med tidligere identificerede phishing kampagne infrastrukturer i forbindelse med den samme cyberkriminelle gruppe.
Her er den fulde liste over delte funktionalitet med Windows Carberp malware:
- Samme URL generation logik hjælp tilfældige sti værdier, en tilfældig fil forlængelse og krypteret token;
- Samme filtypenavne anvendes i C2 URL, der er angivet i de binære filer i samme rækkefølge;
- Samme algoritme, der bruges til at kryptere og dekryptere token i webadressen og HTTP POST data (Carberp nøgle er modificeret ved hjælp af value 0xAA7D756 mens Komplex bruger 0xE150722);
- Meget lig håndtering kommando, herunder parsing specielt til Execute, Slet, [fil], [/fil], Filnavn, og PathToSave;
- Kontrol for Internet-forbindelse ved at forbinde til google.com;
- Bruger en 11-byte XOR nøgle til at dekryptere strenge inden konfigurationen.
Forskere har opdaget flere moduler, der gør det muligt for cyberkriminelle at hente filer på de målrettede systemer, stjæle data, eller udføre kommandoer. kort sat, Komplex er en Mac-porten på Carberp Trojan til Windows, som blev indsat mod en embedsmand i USA.