Nya ‘Komplex’ Trojan Malware Targeting Mac-datorer [Updated]
En ny OS X-malware har upptäckts av säkerhetsforskare från Palo Alto Networks. Skadlig kod, som heter “Komplex”, är en Mac Trojan som skapats av Sofacy Group och riktar sig tydligen till flygindustrin.
Under analysen fann forskarna att Komplex-skadlig programvara använts tidigare genom att utnyttja en MacKeeper-sårbarhet. Denna nya Komplex Trojan riktar sig dock mot Mac-datorer via e-postbilagor. Här är vad du behöver veta för att vara säker!
Vad är infektionsvektorn?
Komplex hamnar i en användares system genom spjutfiske, en metod som används av cyberbrottslingar för att få ett offer att öppna ett e-postmeddelande med en skadlig bilaga, och maskerar som en rysk rymdprograminformation PDF.
Personen som får e-postmeddelandet kanske tror att de öppnar en PDF-fil med framtida planer för det ryska rymdprogrammet, men i själva verket är det en Trojan som kommer att installera filer på systemet och ansluta till en fjärrkommando & kontroll (c & c) server . En verklig PDF med nämnda ryska rymdinformation öppnas i förhandsgranskning, men detta är bara en lura. Denna PDF laddas inte ner men är en del av den skadliga bilagan och är skriven på plats.
Var installeras Komplex?
Trojan väntar på en internetanslutning och försöker skicka en GET-begäran till Google för att bekräfta att den inte körs i en anti-analys / sandbox-miljö. Efter att ha bekräftat en aktiv internetanslutning börjar Komplex nyttolast att utföra sin huvudsakliga funktionalitet. Flera filer placeras på systemet vid installationen och flyttas sedan till sina slutliga platser, som är:
• /Users/$USER/Library/LaunchAgents/com.apple.updates.plist
• /Users/Shared/.local/kextd
Filer placeras inledningsvis i / Användare / Delas /, men flyttas till sin slutdestination:
När alla komponenter är på plats och Komplex är igång kan den ladda ner, installera och köra ytterligare skadlig kod samt ta bort filer.
Medan Komplex installeras kan följande popup visas:
Det är viktigt att notera att malware kommer att installeras oavsett vilken knapp som klickas på. Den här varningen utlöses av bindemedlet (de körbara datorerna som ansvarar för installationen av skadlig kod), som använder SetFile-kommandot.
Bör Mac-användare vara oroliga?
Medan Komplex inte verkar göra något skadligt efter att ha installerat sig själv kan detta ändras direkt om Sofacy Group beslutar att skicka kommandon för C & C-servrarna att vidarebefordra. Risken här är för närvarande för dem som arbetar inom flygindustrin, men den här tekniken kan användas mot OS X- och macOS-användare var som helst.
Som nämnts ovan användes Komplex tidigare genom att utnyttja en MacKeeper-sårbarhet mot Mac-användare. Ett annat verktyg som Komplex delar en betydande mängd funktioner och egenskaper med, kallat Carberp, användes också i tidigare attacker mot Windows-system.
Rapporten nämner ”Förutom delad kod och funktionalitet upptäckte vi också Komplex Command and Control (C2) -domäner som överlappade tidigare identifierade nätfiske-kampanjinfrastrukturer associerade med Sofacy Group, och” En fördel med att behålla många av samma funktioner inom Windows och OS X Trojans är att det skulle kräva färre ändringar av C2-serverapplikationen för att hantera plattformsimplantat, ”vilket gör det lättare för Sofacy Group att anpassa och släppa framtida skadlig kod.
Sofacy Group, även känd som Fancy Bear, Pawn Storm, APT28 och Sednit, har varit aktiv i flera år och har attackerat myndigheter i Östeuropa och väst, liksom flera medieorganisationer. De tros ligga bakom dataintrånget hos National Committee of the Democratic Party och senast hackingen av världens antidopningsbyrå. En grupp som denna kommer troligen inte att försvinna när som helst, så mer skadlig programvara från dem kan förväntas.
Vilka steg kan Mac-användare vidta för att skydda sina datorer?
Om de är infekterade kan Mac-användare ta bort Komplex-filerna manuellt för att rensa infektionen. Från Finder-menyn “Gå”, välj “Gå till mapp” och kopiera / klistra in var och en av följande sökvägar (ersätt $ USER med ditt eget hemmappnamn):
• /Users/$USER/Library/LaunchAgents/com.apple.updates.plist
• /Users/Shared/.local/kextd
Om filerna hittas är din Mac troligen infekterad. Flytta filerna till papperskorgen och starta om din Mac, töm sedan papperskorgen och kontrollera platserna igen. Din Mac borde nu vara fri från Komplex.
Intego VirusBarrier upptäcker alla kända komponenter i Komplex malware, identifierade som OSX / Komplex. Intego undersöker fortfarande; vi kommer att uppdatera den här historien när ny information finns tillgänglig.
Denna historia har uppdaterats.
Om Mike Jones
Mike Jones är en IT-konsult med en passion för säkerhetsforskning på Mac. Han genomför oberoende skydd mot skadlig programvara och skriver också om integritets- och säkerhetsrelaterade frågor på sin blogg Security Spread. Följ honom på Twitter på @SecuritySpread. Visa alla inlägg av Mike Jones → Det här inlägget postades i Malware, Security News och taggades Komplex, malware, OSX / Komplex, Sofacy Group, Trojan häst. Bokmärk permalänken.