trop complexe, selon les chercheurs de sécurité à Palo Alto Networks, un nouveau cheval de Troie pour Mac OS X, qui est censé être lié aux activités de Sofacy (également connu sous le nom APT28, Tempête Pawn, Fantaisie Ours, et Sednit), un groupe cyber-espionnage russe. Même si aucune victime n'a été signalé encore, l'équipe de recherche a repéré la charge utile des programmes malveillants. En outre, les chercheurs ont découvert que le cheval de Troie a été personnalisé pour cibler les personnes dans l'industrie aérospatiale.
Komplex cheval de Troie Présentation technique
Trois versions du cheval de Troie sont connus jusqu'à:
- Une version Komplex pour l'architecture x64;
- Une version Komplex pour l'architecture x86;
- Et une troisième version pour les deux architectures.
Le cheval de Troie a plusieurs parties, premier conduit avec un composant de liant qui est responsable de l'enregistrement d'une deuxième charge utile et d'un document de leurre pour le système. Nous avons trouvé trois versions différentes du liant Komplex, qui a été créé pour fonctionner sur x86, une autre sur x64, et une troisième qui contient des liants pour les architectures x86 et x64.
Au cours de l'analyse des chercheurs, il est devenu connu que Komplex a été utilisé dans une précédente attaque qui a ciblé les victimes sous OS X. L'attaque exploite une vulnérabilité dans l'application MacKeeper et livré Komplex comme une charge utile. Sans surprise, le cheval de Troie a beaucoup en commun avec un autre outil déployé par APT29 - Carberp qui a été déployée contre les utilisateurs de Windows.
En plus du code partagé et fonctionnalité, les chercheurs également découvert la commande et le contrôle Komplex (C2) domaines qui chevauchaient infrastructures de campagne phishing identifiés précédemment associés au même groupe cybercriminel.
Voici la liste complète des fonctionnalités partagées avec les logiciels malveillants de Windows Carberp:
- Même logique de génération d'URL en utilisant des valeurs de chemin aléatoires, une extension de fichier aléatoire et le jeton crypté;
- extensions de fichiers identiques à ceux utilisés dans l'URL C2 répertoriés dans les fichiers binaires dans le même ordre;
- algorithme utilisé pour crypter même et déchiffrer le jeton dans l'URL et les données HTTP POST (clé Carberp est modifiée à l'aide 0xAA7D756 de valeur alors que Komplex utilise 0xE150722);
- manipulation de commande similaire, y compris l'analyse spécifiquement pour exécuter, Effacer, [fichier], [/fichier], Nom de fichier, et PathToSave;
- Les contrôles pour la connectivité Internet en se connectant à google.com;
- Utilise une clé XOR 11 octets pour décrypter les chaînes dans la configuration.
Les chercheurs ont découvert plusieurs modules qui permettent aux cybercriminels de télécharger des fichiers sur les systèmes ciblés, voler des données, ou exécuter des commandes. Peu de temps mis, Komplex est un port Mac du cheval de Troie Carberp pour Windows qui a été déployée contre un fonctionnaire du gouvernement aux États-Unis.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: