Casa > cibernético Notícias > Trojan Komplex para OS X funciona exatamente como o Trojan Windows Carberp
CYBER NEWS

Komplex Trojan para Mac OS X funciona exatamente como o do Windows Carberp Trojan

mac-stforum-cabeçalho

Komplex é, de acordo com pesquisadores de segurança da Palo Alto Networks, um novo Trojan para Mac OS X, que se acredita ser ligado às actividades de Sofacy (também conhecido como APT28, Tempestade Pawn, urso fantasia, e Sednit), um grupo de espionagem cibernética russa. Mesmo que há vítimas ainda não foram relatados, a equipa de investigação tem manchado a carga de malware. Além disso, Pesquisadores descobriram que o cavalo de Tróia foi personalizado para as pessoas alvo na indústria aeroespacial.


Komplex Trojan Visão geral técnica


Três versões do Trojan são conhecidos como muito:

  • Uma versão Komplex para a arquitetura x64;
  • Uma versão Komplex para a arquitetura x86;
  • E uma terceira versão para ambas as arquiteturas.

O cavalo de Tróia tem várias partes, primeiro líder com um componente ligante que é responsável por salvar uma segunda carga útil e um documento de engodo para o sistema. Encontramos três versões diferentes da pasta Komplex, um que foi criado para rodar em x86, outra em x64, e uma terceira, que continha ligantes para as arquiteturas x86 e x64.

Durante a análise dos pesquisadores, soube-se que Komplex foi usado em um ataque anterior que as vítimas alvo rodando Mac OS X. O ataque explorada uma vulnerabilidade na aplicação MacKeeper e entregue Komplex como uma carga útil. não é de surpreender, o cavalo de Tróia tem muito em comum com outra ferramenta implantada por APT29 - Carberp que foi implantado contra usuários do Windows.

relacionado: Hammertoss Backdoor Malware pelo russo Grupo APT29

Além de código compartilhado e funcionalidade, Os pesquisadores comando Komplex também descobriu e controle (C2) domínios que sobreposto com infra-estruturas de campanha de phishing identificados anteriormente associados a um mesmo grupo cibercriminoso.

Aqui está a lista completa de funcionalidade compartilhada com o malware do Windows Carberp:

  • lógica mesma geração URL usando valores de caminhos aleatórios, uma extensão de arquivo aleatório e token criptografado;
  • extensões de arquivo mesmo utilizado no C2 URL listados dentro dos binários na mesma ordem;
  • Mesmo algoritmo usado para criptografar e descriptografar o token no URL e HTTP POST dados (chave Carberp é modificado usando o valor 0xAA7D756 enquanto Komplex usa 0xE150722);
  • manipulação de comando muito semelhante, incluindo analisar especificamente para Executar, Excluir, [Arquivo], [/Arquivo], Nome do arquivo, e PathToSave;
  • Verifica se há conectividade com a Internet por conexão com google.com;
  • Usa uma chave de XOR 11 bytes para cordas decrypt dentro da configuração.

Pesquisadores descobriram vários módulos que permitem que os cibercriminosos para download de arquivos nos sistemas alvejados, roubar dados, ou executar comandos. pouco colocá, Komplex é uma porta de Mac do Carberp Tróia para Windows que foi implantado contra um funcionário do governo nos EUA.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo