Hjem > Cyber ​​Nyheder > Komplex Trojan for OS X Works Just Like the Windows Carberp Trojan
CYBER NEWS

Komplex Trojan til OS X fungerer ligesom Windows Carberp Trojan

mac-stforum-header

komplekser, ifølge sikkerhedseksperter på Palo Alto Networks, en ny trojansk til Mac OS X, som menes at være knyttet til aktiviteterne i Sofacy (også kendt som APT28, Pawn Storm, fancy Bjørn, og Sednit), en russisk cyber spionage gruppe. Selvom ingen ofre er blevet rapporteret endnu, forskerholdet har spottet malware nyttelast. Desuden, forskere har afsløret, at den trojanske er blevet tilpasset til at målrette folk i luftfartsindustrien.


Komplex Trojan Teknisk oversigt


Tre versioner af den trojanske er kendt som langt:

  • En Komplex version til x64-arkitektur;
  • En Komplex version til x86-arkitekturen;
  • Og en tredje version til begge arkitekturer.

Den trojanske har flere dele, første førende med et bindemiddel komponent, der er ansvarlig for at gemme en anden nyttelast og en lokkedue dokument til systemet. Vi fandt tre forskellige versioner af Komplex bindemiddel, en, der blev oprettet for at køre på x86, anden på x64, og en tredje, der indeholdt bindemidler til både x86 og x64-arkitekturer.

Under forskernes analyse, det blev kendt, at Komplex blev brugt i en tidligere angreb, der målrettet ofre kører OS X. Angrebet udnyttede en sårbarhed i MacKeeper ansøgningen og leveret Komplex som en nyttelast. Ikke overraskende, den trojanske har meget til fælles med et andet værktøj anvendes af APT29 - Carberp som blev indsat mod Windows-brugere.

Relaterede: Hammertoss Backdoor Malware russiske Group APT29

Ud over fælles kode og funktionalitet, forskerne også opdaget Komplex kommando og kontrol (C2) domæner, der overlappede med tidligere identificerede phishing kampagne infrastrukturer i forbindelse med den samme cyberkriminelle gruppe.

Her er den fulde liste over delte funktionalitet med Windows Carberp malware:

  • Samme URL generation logik hjælp tilfældige sti værdier, en tilfældig fil forlængelse og krypteret token;
  • Samme filtypenavne anvendes i C2 URL, der er angivet i de binære filer i samme rækkefølge;
  • Samme algoritme, der bruges til at kryptere og dekryptere token i webadressen og HTTP POST data (Carberp nøgle er modificeret ved hjælp af value 0xAA7D756 mens Komplex bruger 0xE150722);
  • Meget lig håndtering kommando, herunder parsing specielt til Execute, Slet, [fil], [/fil], Filnavn, og PathToSave;
  • Kontrol for Internet-forbindelse ved at forbinde til google.com;
  • Bruger en 11-byte XOR nøgle til at dekryptere strenge inden konfigurationen.

Forskere har opdaget flere moduler, der gør det muligt for cyberkriminelle at hente filer på de målrettede systemer, stjæle data, eller udføre kommandoer. kort sat, Komplex er en Mac-porten på Carberp Trojan til Windows, som blev indsat mod en embedsmand i USA.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...