Trojan.MacOS.Komplex.A
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Classement : le classement d'une menace particulière dans la base de données des menaces d'EnigmaSoft.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
| Niveau de menace: | 90 % (Haute) |
| Ordinateurs infectés : | 13 |
| Vu la première fois: | February 3, 2021 |
| Vu pour la dernière fois : | October 27, 2022 |
Trojan.MacOS.Komplex.A a été découvert par des chercheurs en 2016. Il s'agit d'une infection cheval de Troie pour les ordinateurs macOS créée par le groupe Sofacy (également connu sous le nom de Fancy Bear, APT28, Sednit et Pawn Storm). Lors de l'analyse de la menace, les chercheurs de logiciels malveillants ont découvert que le cheval de Troie avait été utilisé dans le passé en exploitant une vulnérabilité dans MacKeeper. Pourtant, on pense que les dernières versions de cette menace infectent les machines cibles principalement via des pièces jointes corrompues. Apparemment, Komplex.A Trojan pour Mac cible l'industrie aérospatiale, car il atterrit sur les ordinateurs des victimes par le biais de campagnes de spam qui incitent les destinataires à ouvrir une pièce jointe malveillante masquée comme un fichier PDF contenant des informations sur le programme aérospatial russe.
Une fois ouverte, la pièce jointe installe les fichiers du cheval de Troie sur le système, puis établit une connexion avec le serveur de commande et de contrôle distant (serveur C&C) contrôlé par les cyber-attaquants. La pièce jointe ouvre initialement un PDF réel avec les informations promises en aperçu pour déguiser son véritable objectif. On dirait que Komplex.A dispose d'un mécanisme pour éviter les analyses et les sandbox - il envoie une requête GET à Google pour confirmer qu'une connexion Internet active est disponible avant d'exécuter ses principales fonctionnalités. Le logiciel malveillant crée plusieurs fichiers lors de l'installation, initialement dans le dossier / Users / Shared /. Plus précisément, dans /Users/Shared/.local/kextd et /Users/$USER/Library/LaunchAgents/com.apple.updates.plist. Ensuite, les fichiers sont déplacés vers leur emplacement final.
Bien que l'analyse de 2016 n'ait identifié aucune tâche malveillante spécifique effectuée par Komplex.A, une fois entièrement installé, les attaquants peuvent demander au cheval de Troie d'exécuter des commandes, telles que le téléchargement et l'exécution de menaces de logiciels malveillants supplémentaires. Komplex.A dispose également d'une longue liste de fonctionnalités partagées avec une autre menace appelée Carberp, qui attaque les systèmes Windows, ce qui implique que le groupe Sofacy pourrait à l'avenir développer de nouvelles menaces multiplateformes.
