Komplex é, de acordo com pesquisadores de segurança da Palo Alto Networks, um novo Trojan para Mac OS X, que se acredita ser ligado às actividades de Sofacy (também conhecido como APT28, Tempestade Pawn, urso fantasia, e Sednit), um grupo de espionagem cibernética russa. Mesmo que há vítimas ainda não foram relatados, a equipa de investigação tem manchado a carga de malware. Além disso, Pesquisadores descobriram que o cavalo de Tróia foi personalizado para as pessoas alvo na indústria aeroespacial.
Komplex Trojan Visão geral técnica
Três versões do Trojan são conhecidos como muito:
- Uma versão Komplex para a arquitetura x64;
- Uma versão Komplex para a arquitetura x86;
- E uma terceira versão para ambas as arquiteturas.
O cavalo de Tróia tem várias partes, primeiro líder com um componente ligante que é responsável por salvar uma segunda carga útil e um documento de engodo para o sistema. Encontramos três versões diferentes da pasta Komplex, um que foi criado para rodar em x86, outra em x64, e uma terceira, que continha ligantes para as arquiteturas x86 e x64.
Durante a análise dos pesquisadores, soube-se que Komplex foi usado em um ataque anterior que as vítimas alvo rodando Mac OS X. O ataque explorada uma vulnerabilidade na aplicação MacKeeper e entregue Komplex como uma carga útil. não é de surpreender, o cavalo de Tróia tem muito em comum com outra ferramenta implantada por APT29 - Carberp que foi implantado contra usuários do Windows.
Além de código compartilhado e funcionalidade, Os pesquisadores comando Komplex também descobriu e controle (C2) domínios que sobreposto com infra-estruturas de campanha de phishing identificados anteriormente associados a um mesmo grupo cibercriminoso.
Aqui está a lista completa de funcionalidade compartilhada com o malware do Windows Carberp:
- lógica mesma geração URL usando valores de caminhos aleatórios, uma extensão de arquivo aleatório e token criptografado;
- extensões de arquivo mesmo utilizado no C2 URL listados dentro dos binários na mesma ordem;
- Mesmo algoritmo usado para criptografar e descriptografar o token no URL e HTTP POST dados (chave Carberp é modificado usando o valor 0xAA7D756 enquanto Komplex usa 0xE150722);
- manipulação de comando muito semelhante, incluindo analisar especificamente para Executar, Excluir, [Arquivo], [/Arquivo], Nome do arquivo, e PathToSave;
- Verifica se há conectividade com a Internet por conexão com google.com;
- Usa uma chave de XOR 11 bytes para cordas decrypt dentro da configuração.
Pesquisadores descobriram vários módulos que permitem que os cibercriminosos para download de arquivos nos sistemas alvejados, roubar dados, ou executar comandos. pouco colocá, Komplex é uma porta de Mac do Carberp Tróia para Windows que foi implantado contra um funcionário do governo nos EUA.