Komplex è, secondo i ricercatori di sicurezza a Palo Alto Networks, un nuovo Trojan per Mac OS X, che si crede di essere collegato alle attività di Sofacy (conosciuto anche come APT28, Pegno Tempesta, Fancy Orso, e Sednit), un gruppo di spionaggio informatico russo. Anche se non le vittime sono state ancora pubblicate, il team di ricerca ha individuato il payload del malware. Inoltre, i ricercatori hanno scoperto che il Trojan è stato personalizzato di indirizzare le persone nel settore aerospaziale.
Komplex Trojan Panoramica tecnica
Tre versioni del Trojan sono noti per quanto riguarda:
- Una versione Komplex per l'architettura x64;
- Una versione Komplex per l'architettura x86;
- E una terza versione per entrambe le architetture.
Il Trojan ha più parti, prima porta con un componente legante che è responsabile per il salvataggio di un secondo carico utile e un documento richiamo al sistema. Abbiamo trovato tre diverse versioni del legante Komplex, uno che è stato creato per funzionare su x86, un altro su x64, e una terza che conteneva leganti per entrambe le architetture x86 e x64.
Durante l'analisi dei ricercatori, si è saputo che Komplex è stato utilizzato in un precedente attacco che aveva come obiettivo le vittime con OS X. L'attacco ha sfruttato una vulnerabilità nell'applicazione MacKeeper e consegnato Komplex come payload. Non sorprende, il Trojan ha molto in comune con un altro strumento messo in atto da APT29 - Carberp che è stato schierato contro gli utenti di Windows.
Oltre al codice condiviso e funzionalità, i ricercatori anche scoperto comando e controllo Komplex (C2) domini che si sovrapponevano con le infrastrutture delle campagne di phishing precedentemente identificati associati con lo stesso gruppo criminale informatico.
Ecco l'elenco completo delle funzionalità condivise con il malware di Windows Carberp:
- logica stessa generazione URL utilizzando valori casuali di percorso, un'estensione di file casuale e Token cifrato;
- le estensioni dei file stessi utilizzati in C2 URL che sono elencati all'interno dei binari nello stesso ordine;
- Lo stesso algoritmo usato per cifrare e decifrare il token nei dati URL e HTTP POST (chiave Carberp viene modificata utilizzando 0xAA7D756 valore mentre Komplex usa 0xE150722);
- Molto simile manipolazione comando, comprese analisi specificamente per Eseguire, cancellare, [file], [/file], Nome del file, e PathToSave;
- Controlli per la connettività Internet collegandosi a google.com;
- Utilizza una chiave di XOR 11 byte per decifrare le stringhe all'interno della configurazione.
I ricercatori hanno scoperto diversi moduli che consentono ai criminali informatici per scaricare i file sui sistemi mirati, rubare dati, o eseguire comandi. poco mettere, Komplex è un porto Mac del Carberp Trojan per Windows che è stato schierato contro un funzionario del governo degli Stati Uniti.