Casa > Cyber ​​Notizie > Komplex Trojan for OS X Works Just Like the Windows Carberp Trojan
CYBER NEWS

Komplex Trojan per OS X funziona esattamente come Windows Carberp Trojan

mac-stforum-header

Komplex è, secondo i ricercatori di sicurezza a Palo Alto Networks, un nuovo Trojan per Mac OS X, che si crede di essere collegato alle attività di Sofacy (conosciuto anche come APT28, Pegno Tempesta, Fancy Orso, e Sednit), un gruppo di spionaggio informatico russo. Anche se non le vittime sono state ancora pubblicate, il team di ricerca ha individuato il payload del malware. Inoltre, i ricercatori hanno scoperto che il Trojan è stato personalizzato di indirizzare le persone nel settore aerospaziale.


Komplex Trojan Panoramica tecnica


Tre versioni del Trojan sono noti per quanto riguarda:

  • Una versione Komplex per l'architettura x64;
  • Una versione Komplex per l'architettura x86;
  • E una terza versione per entrambe le architetture.

Il Trojan ha più parti, prima porta con un componente legante che è responsabile per il salvataggio di un secondo carico utile e un documento richiamo al sistema. Abbiamo trovato tre diverse versioni del legante Komplex, uno che è stato creato per funzionare su x86, un altro su x64, e una terza che conteneva leganti per entrambe le architetture x86 e x64.

Durante l'analisi dei ricercatori, si è saputo che Komplex è stato utilizzato in un precedente attacco che aveva come obiettivo le vittime con OS X. L'attacco ha sfruttato una vulnerabilità nell'applicazione MacKeeper e consegnato Komplex come payload. Non sorprende, il Trojan ha molto in comune con un altro strumento messo in atto da APT29 - Carberp che è stato schierato contro gli utenti di Windows.

Correlata: Hammertoss Backdoor Malware dal russo Gruppo APT29

Oltre al codice condiviso e funzionalità, i ricercatori anche scoperto comando e controllo Komplex (C2) domini che si sovrapponevano con le infrastrutture delle campagne di phishing precedentemente identificati associati con lo stesso gruppo criminale informatico.

Ecco l'elenco completo delle funzionalità condivise con il malware di Windows Carberp:

  • logica stessa generazione URL utilizzando valori casuali di percorso, un'estensione di file casuale e Token cifrato;
  • le estensioni dei file stessi utilizzati in C2 URL che sono elencati all'interno dei binari nello stesso ordine;
  • Lo stesso algoritmo usato per cifrare e decifrare il token nei dati URL e HTTP POST (chiave Carberp viene modificata utilizzando 0xAA7D756 valore mentre Komplex usa 0xE150722);
  • Molto simile manipolazione comando, comprese analisi specificamente per Eseguire, cancellare, [file], [/file], Nome del file, e PathToSave;
  • Controlli per la connettività Internet collegandosi a google.com;
  • Utilizza una chiave di XOR 11 byte per decifrare le stringhe all'interno della configurazione.

I ricercatori hanno scoperto diversi moduli che consentono ai criminali informatici per scaricare i file sui sistemi mirati, rubare dati, o eseguire comandi. poco mettere, Komplex è un porto Mac del Carberp Trojan per Windows che è stato schierato contro un funzionario del governo degli Stati Uniti.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...