complejos, de acuerdo con investigadores de seguridad en Palo Alto Networks, un nuevo troyano para Mac OS X, que se cree que está relacionado con las actividades de Sofacy (también conocido como APT28, Tormenta de empeño, Fantasía oso, y Sednit), un grupo de espionaje cibernético ruso. A pesar de que no hay víctimas se han reportado aún, el equipo de investigación ha descubierto la carga útil de malware. Por otra parte, los investigadores han descubierto que el troyano ha sido personalizado para apuntar a la gente en la industria aeroespacial.
Komplex descripción técnica de Troya
Tres versiones del troyano se conocen en la medida de:
- Una versión Komplex para la arquitectura x64;
- Una versión Komplex para la arquitectura x86;
- Y una tercera versión para arquitecturas.
El troyano tiene varias partes, primera líder con un componente aglutinante que es responsable de guardar una segunda carga útil y un documento de señuelo para el sistema de. Encontramos tres versiones diferentes del ligante Komplex, que fue creado para funcionar en x86, otra en x64, y una tercera que contenía aglutinantes para las arquitecturas x86 y x64.
Durante el análisis de los investigadores, se supo que Komplex fue utilizado en un ataque anterior que tenía como objetivo las víctimas con OS X. El ataque explota una vulnerabilidad en la aplicación MacKeeper y entregado Komplex como una carga útil. No es sorprendente, el troyano tiene mucho en común con otra herramienta desplegada por APT29 - Carberp que se desplegó contra los usuarios de Windows.
Además de código compartido y funcionalidad, los investigadores También descubierto mando y control Komplex (C2) dominios que se superponen con las infraestructuras de campaña de phishing previamente identificados en relación con el mismo grupo cibercriminal.
Esta es la lista completa de funcionalidad compartida con el malware de Windows Carberp:
- la lógica misma generación URL usando valores de las rutas aleatorias, una extensión de archivo al azar y el token de cifrado;
- extensiones de archivo mismas utilizadas en el URL C2 que se enumeran dentro de los binarios en el mismo orden;
- Mismo algoritmo utilizado para cifrar y descifrar la señal en los datos de URL y HTTP POST (Carberp clave es modificado mediante 0xAA7D756 de valor mientras que Komplex utiliza 0xE150722);
- el manejo de comandos muy similar, incluyendo análisis específicamente para Ejecutar, Borrar, [expediente], [/expediente], Nombre del archivo, y PathToSave;
- Comprueba la existencia de la conexión a Internet mediante la conexión a google.com;
- Utiliza una clave XOR 11 bytes para descifrar cadenas dentro de la configuración.
Los investigadores han descubierto varios módulos que permiten a los ciberdelincuentes para descargar archivos en los sistemas de destino, robar datos, o ejecutar comandos. poco poner, Komplex es un puerto para Mac del Carberp troyano para Windows que se desplegó contra un funcionario del gobierno en los EE.UU..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: